警惕!Atlassian Confluence远程代码执行漏洞通告
漏洞描述
近日,亚信安全CERT监测到Confluence远程代码执行漏洞(CVE-2022-26134)的在野利用。该漏洞影响Confluence Server和Confluence Data Center,经过身份认证(某些场景无需身份认证)的攻击者,可利用该漏洞进行OGNL注入,在远程服务器上执行任意代码,进而控制服务器。经亚信安全CERT技术研判,该漏洞范围较大且目前在野利用,目前官方已发布漏洞补丁,建议使用Atlassian Confluence的用户尽快自查并修复漏洞。
Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi,其客户遍布全球,目前有超过75,000家客户使用该产品。
漏洞编号及评分
CVE-2022-26134(CVSS V3:9.8 )
漏洞状态
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
已公开 | 已公开 | 已公开 | 存在 |
亚信安全产品解决方案
亚信安全信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测:
产品 | 版本号 | 规则包版本 |
TDA | 6.0 | 1.0.0.114 |
7.0 | 1.0.0.116 |
漏洞复现
受影响的版本
✓Atlassian Confluence Server and Data Center < 7.4.17
✓Atlassian Confluence Server and Data Center < 7.13.7
✓Atlassian Confluence Server and Data Center < 7.14.3
✓Atlassian Confluence Server and Data Center < 7.15.2
✓Atlassian Confluence Server and Data Center < 7.16.4
✓Atlassian Confluence Server and Data Center < 7.17.4
✓Atlassian Confluence Server and Data Center < 7.18.1
修复建议
官方补丁
🔹Atlassian Confluence Server and Data Center 7.4.17
🔹Atlassian Confluence Server and Data Center 7.13.7
🔹Atlassian Confluence Server and Data Center 7.14.3
🔹Atlassian Confluence Server and Data Center 7.15.2
🔹Atlassian Confluence Server and Data Center 7.16.4
🔹Atlassian Confluence Server and Data Center 7.17.4
🔹Atlassian Confluence Server and Data Center 7.18.1
下载地址:
https://www.atlassian.com/software/confluence/download-archives
临时修复方案
WAF设置阻止包含 ${ 的URL的规则
限制从互联网直接访问Confluence Server和Data Center实例
官方缓解措施
向上滑动阅览
※ 对于 Confluence 7.15.0 - 7.18.0
如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施
关闭Confluence
将以下1个文件下载到Confluence服务器:
xwork-1.0.3-atlassian-10.jar
删除(或将以下JAR移出Confluence安装目录):
Plaintext
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配。
启动Confluence
请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。
※ 对于 Confluence 7.0.0 - Confluence 7.14.2
如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施。
关闭Confluence
将以下3个文件下载到Confluence服务器:
xwork-1.0.3-atlassian-10.jar
CachedConfigurationProvider.class
webwork-2.1.5-atlassian-4.jar
删除(或将以下JAR移到Confluence安装目录之外):
Plaintext
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:不要在目录中留下旧JAR的副本
将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/
检查两个新文件的权限和所有权是否与同一目录中的现有文件匹配。
切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
a.创建一个名为的新目录webwork
b.将CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
c.确保权限和所有权正确:
Plaintext
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
Plaintext
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
启动Confluence
请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。
参考链接
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
了解亚信安全,请点击“阅读原文”