漏洞描述
近日,威尼斯432888camCERT监测到Confluence远程代码执行漏洞(CVE-2022-26134)的在野利用。该漏洞影响Confluence Server和Confluence Data Center,经过身份认证(某些场景无需身份认证)的攻击者,可利用该漏洞进行OGNL注入,在远程服务器上执行任意代码,进而控制服务器。经威尼斯432888camCERT技术研判,该漏洞范围较大且目前在野利用,目前官方已发布漏洞补丁,建议使用Atlassian Confluence的用户尽快自查并修复漏洞。
Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi,其客户遍布全球,目前有超过75,000家客户使用该产品。
漏洞编号及评分
CVE-2022-26134(CVSS V3:9.8 )
漏洞状态
威尼斯432888cam产品解决方案
威尼斯432888cam信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测:
漏洞复现
受影响的版本
Atlassian Confluence Server and Data Center < 7.4.17
Atlassian Confluence Server and Data Center < 7.13.7
Atlassian Confluence Server and Data Center < 7.14.3
Atlassian Confluence Server and Data Center < 7.15.2
Atlassian Confluence Server and Data Center < 7.16.4
Atlassian Confluence Server and Data Center < 7.17.4
Atlassian Confluence Server and Data Center < 7.18.1
修复建议
官方补丁
?Atlassian Confluence Server and Data Center 7.4.17
?Atlassian Confluence Server and Data Center 7.13.7
?Atlassian Confluence Server and Data Center 7.14.3
?Atlassian Confluence Server and Data Center 7.15.2
?Atlassian Confluence Server and Data Center 7.16.4
?Atlassian Confluence Server and Data Center 7.17.4
?Atlassian Confluence Server and Data Center 7.18.1
下载地址:
https://www.atlassian.com/software/confluence/download-archives
临时修复方案
WAF设置阻止包含 ${ 的URL的规则
限制从互联网直接访问Confluence Server和Data Center实例
官方缓解措施
※ 对于 Confluence 7.15.0 - 7.18.0
如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施
关闭Confluence
将以下1个文件下载到Confluence服务器:
xwork-1.0.3-atlassian-10.jar
删除(或将以下JAR移出Confluence安装目录):
Plaintext
/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:不要在目录中留下这个旧JAR 的副本。
将下载的xwork-1.0.3-atlassian-10.jar复制到/confluence/WEB-INF/lib/
检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配。
启动Confluence
请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。
※ 对于 Confluence 7.0.0 - Confluence 7.14.2
如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施。
关闭Confluence
将以下3个文件下载到Confluence服务器:
xwork-1.0.3-atlassian-10.jar
CachedConfigurationProvider.class
webwork-2.1.5-atlassian-4.jar
删除(或将以下JAR移到Confluence安装目录之外):
Plaintext
/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:不要在目录中留下旧JAR的副本
将下载的xwork-1.0.3-atlassian-10.jar复制到/confluence/WEB-INF/lib/
将下载的webwork-2.1.5-atlassian-4.jar复制到/confluence/WEB-INF/lib/
检查两个新文件的权限和所有权是否与同一目录中的现有文件匹配。
切换到目录/confluence/WEB-INF/classes/com/atlassian/confluence/setup
a.创建一个名为的新目录webwork
b.将CachedConfigurationProvider.class复制到/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
c.确保权限和所有权正确:
Plaintext
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
Plaintext
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
启动Confluence
请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。
参考链接
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/