● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Atlassian Confluence 远程代码执行漏洞 |
||
|
漏洞编号 |
QVD-2024-2746,CVE-2023-22527 |
||
|
公开时间 |
2023-01-16 |
影响量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
10.0 |
|
威胁类型 |
代码执行 |
利用可能性 |
高 |
|
POC状态 |
已公开 |
在野利用状态 |
未发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
已公开 |
|
危害描述:未经身份验证的远程攻击者可以利用该漏洞构造恶意请求导致远程代码执行。 |
|||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
影响组件
Atlassian Confluence Data Center是面向大型企业和组织的高可用性、可扩展性和高性能版本,Atlassian Confluence Server是适用于中小型企业和组织的自托管版本。
漏洞描述
近日,奇安信CERT监测到Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527),该漏洞是由模板注入引起的,未经身份验证的远程攻击者可利用该漏洞构造恶意请求导致远程代码执行。
鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
本次更新内容:
新增产线解决方案;
修改漏洞状态;
新增复现截图。
影响版本
Confluence Data Center and Server 8.0.x
Confluence Data Center and Server 8.1.x
Confluence Data Center and Server 8.2.x
Confluence Data Center and Server 8.3.x
Confluence Data Center and Server 8.4.x
8.5.0 <= Confluence Data Center and Server <= 8.5.3
其他受影响组件
无
目前,奇安信CERT已成功复现Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527),截图如下:
奇安信鹰图资产测绘平台数据显示,Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)关联的国内风险资产总数为430275个,关联IP总数为10583个。国内风险资产分布情况如下:
Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)关联的全球风险资产总数为850083个,关联IP总数为128712个。全球风险资产分布情况如下:
安全更新
目前官方已发布安全更新,受影响用户可以更新到最新版本。
Confluence Data Center and Server >= 8.5.4
Confluence Data Center >= 8.6.0
Confluence Data Center >= 8.7.1
缓解措施
1. 仅允许受信网络访问。
产品解决方案
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)的防护。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:8003 ,建议用户尽快升级检测规则库至2401221330以上。
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0122.14183或以上版本。规则ID及规则名称:
0x10021993,Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信自动化渗透测试系统检测方案
奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击,请将插件版本和指纹版本升级到20240126811600以上版本。规则名称:Atlassian Confluence CVE-2023-22527 远程代码执行漏洞。奇安信自动化渗透测试系统规则升级方法:系统管理->升级管理->插件升级(指纹升级),选择“网络升级”或“本地升级”。
Snort检测方案
Snort是一个开源的入侵检测系统,使用规则来检测网络流量中的恶意行为。用户可参考以下Snort检测规则,进行Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)的检测:
alert tcp any any -> any 80 (msg:"Detect POST request to /template/aui/text-inline.vm"; flow:to_server,established; content:"POST"; http_method; content:"/template/aui/text-inline.vm"; http_uri; sid:1000001;)
[1]https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
2024年1月16日,奇安信 CERT发布安全风险通告;
2024年1月22日,奇安信 CERT发布安全风险通告第二次更新。
原文始发于微信公众号(奇安信 CERT):【已复现】Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论