01 漏洞概况
Atlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki。其使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。因此,该系统被国内较多知名互联网企业所采用,应用范围较广,因此该漏洞威胁影响范围较大。
漏洞复现:
此次受影响版本如下:
|
软件版本 |
是否受影响 |
| Confluence Server&Data Center ≥ 1.3.0
Atlassian Confluence Server and Data Center < 7.4.17 |
是 |
02 漏洞评估
03 检测修复方案
1. 官方补丁通告
将相关应用更新至最新版,参考官方通告链接:https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html,对于无法及时更新的应用,链接中也提供了各版本对应的缓解措施。
2. 主机侧检测排查
(1)后门排查
该漏洞涉及的攻击事件相关后门样本,微步在线主机威胁检测与响应平台OneEDR 已能检出:
河马也支持相关后门样本查杀:
企业运维人员可以使用上述两款产品排除系统中是否包含相关后门样本。
(2)访问日志排查
排查Confluence日志(参考路径:/opt/atlassian/confluence/logs/confluence_access.<yyyy-mm-dd>.log),查看访问请求中是否包含”${”或“%24%7B”,若包含则说明相关应用可能遭受过该漏洞的攻击,建议立即使用河马webshell查杀工具或 OneEDR 进行后门排查。
(3)主机侧漏洞利用检测
微步在线主机威胁检测与响应平台 OneEDR 不仅支持排查相关webshell后门,也能识别 Confluence 的应用资产和漏洞发现,并检测相关漏洞利用:
3. 流量检测
微步在线威胁感知平台 TDP 已支持相关漏洞检测:
4. 受影响资产排查
微步在线X企业版和主机威胁检测与响应平台 OneEDR 已集成相关漏洞信息,能全面及时帮助用户发现受影响的资产信息:
04 时间线
2022.6.3 微步情报局捕获该漏洞相关情报。
2022.6.3 微步在线主机威胁检测与响应平台 OneEDR 实现资产漏洞识别发现。
2022.6.3 河马、威胁感知平台TDP 、X企业版,均已支持检测!
2022.6.4 北京时间凌晨1点(太平洋时间 2022.06.03 上午10点),官方发布漏洞公告及补丁信息。
2022.6.4 微步情报局发布漏洞通告。
04 时间线
2022.6.3 微步情报局捕获该漏洞相关情报。
2022.6.3 微步在线主机威胁检测与响应平台 OneEDR 实现资产漏洞识别发现。
2022.6.3 河马、威胁感知平台TDP 、X企业版,均已支持检测!
2022.6.4 北京时间凌晨1点(太平洋时间 2022.06.03 上午10点),官方发布漏洞公告及补丁信息。
2022.6.4 微步情报局发布漏洞通告。
04 时间线
2022.6.3 微步情报局捕获该漏洞相关情报。
2022.6.3 微步在线主机威胁检测与响应平台 OneEDR 实现资产漏洞识别发现。
2022.6.3 河马、威胁感知平台TDP 、X企业版,均已支持检测!
2022.6.4 北京时间凌晨1点(太平洋时间 2022.06.03 上午10点),官方发布漏洞公告及补丁信息。
2022.6.4 微步情报局发布漏洞通告。
第一时间为您推送最新威胁情报
原文始发于微信公众号(微步在线研究响应中心):突发!Atlassian Confluence高危漏洞爆出在野利用,多种检测修复方案出炉
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论