打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!Atlassian Confluence远程代码执行漏洞通告
发布时间 :2022年06月07日
分享:

漏洞描述

近日,亚信安全CERT监测到Confluence远程代码执行漏洞(CVE-2022-26134)的在野利用。该漏洞影响Confluence Server和Confluence Data Center,经过身份认证(某些场景无需身份认证)的攻击者,可利用该漏洞进行OGNL注入,在远程服务器上执行任意代码,进而控制服务器。经亚信安全CERT技术研判,该漏洞范围较大且目前在野利用,目前官方已发布漏洞补丁,建议使用Atlassian Confluence的用户尽快自查并修复漏洞。


Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi,其客户遍布全球,目前有超过75,000家客户使用该产品。


漏洞编号及评分

CVE-2022-26134(CVSS V3:9.8 )


漏洞状态


漏洞细节

漏洞PoC

漏洞EXP

在野利用

已公开

已公开

已公开

存在


亚信安全产品解决方案

亚信安全信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测:


产品

版本号

规则包版本

TDA

6.0

1.0.0.114

7.0

1.0.0.116



漏洞复现


111.png



受影响的版本

  • Atlassian Confluence Server and Data Center < 7.4.17

  • Atlassian Confluence Server and Data Center < 7.13.7

  • Atlassian Confluence Server and Data Center < 7.14.3

  • Atlassian Confluence Server and Data Center < 7.15.2

  • Atlassian Confluence Server and Data Center < 7.16.4

  • Atlassian Confluence Server and Data Center < 7.17.4

  • Atlassian Confluence Server and Data Center < 7.18.1


修复建议


官方补丁

?Atlassian Confluence Server and Data Center 7.4.17

?Atlassian Confluence Server and Data Center 7.13.7

?Atlassian Confluence Server and Data Center 7.14.3

?Atlassian Confluence Server and Data Center 7.15.2

?Atlassian Confluence Server and Data Center 7.16.4

?Atlassian Confluence Server and Data Center 7.17.4

?Atlassian Confluence Server and Data Center 7.18.1


下载地址:

https://www.atlassian.com/software/confluence/download-archives


临时修复方案

WAF设置阻止包含 ${ 的URL的规则

限制从互联网直接访问Confluence Server和Data Center实例


官方缓解措施


※ 对于 Confluence 7.15.0 - 7.18.0

如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施

关闭Confluence

将以下1个文件下载到Confluence服务器:

xwork-1.0.3-atlassian-10.jar

删除(或将以下JAR移出Confluence安装目录):

Plaintext

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

注意:不要在目录中留下这个旧JAR 的副本。

将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/

检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配。

启动Confluence

请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。


※ 对于 Confluence 7.0.0 - Confluence 7.14.2

如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施。

关闭Confluence

将以下3个文件下载到Confluence服务器:

xwork-1.0.3-atlassian-10.jar

CachedConfigurationProvider.class

webwork-2.1.5-atlassian-4.jar

删除(或将以下JAR移到Confluence安装目录之外):

Plaintext

 <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar

 <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

注意:不要在目录中留下旧JAR的副本

将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/

将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/

检查两个新文件的权限和所有权是否与同一目录中的现有文件匹配。

切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

a.创建一个名为的新目录webwork

b.将CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

c.确保权限和所有权正确:

Plaintext

<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork


Plaintext

<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

启动Confluence

请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。



参考链接

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

分享到微信
X