简述
6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。
Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行任意代码。
-
CVSS评分为9.8分,评级为严重,按照官方描述该漏洞受影响版本为:所有受支持的 Confluence Server 和 Confluence Data Center 版本、Confluence Server 和 Confluence Data Center 1.3.0 之后的版本。
-
漏洞已经复现,并且存在多种在野利用情况
(漏洞复现截图)
-
官方已经发布新版本,建议企业用户高优排查暴露在外网的服务并进行修复,安全版本包括:7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4、7.18.1
缺陷分析
问题原因较为简单,由于部分URI被作为OGNL(java中常用的表达式语言)解析,造成表达式注入。
在confluence/WEB-INF/lib/webwork-2.1.5-*.jar中可以看到获取了最后一个/之前的路径作为命名空间:
在confluence/WEB-INF/lib/xwork-1.0.3.6.jar中对应的命名空间进行解析取值
可以看到对应使用了OGNL解析
修复建议
升级:
建议用户升级到最新的支持版本。
缓解:
如无法立即升级 Confluence,作为缓解方法,可以通过为特定版本的产品更新以下文件来缓解该问题。
1.对于 Confluence 7.15.0 - 7.18.0
1)关闭 Confluence
2)下载新的jar包到Confluence 服务器:xwork-1.0.3-atlassian-10.jar
3)从Confluence 安装目录中移除旧的jar包:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar4)将先前下载的xwork-1.0.3-atlassian-10.jar包,复制到Confluence 安装目录:<confluence-install>/confluence/WEB-INF/lib/ (这里要注意新的jar包权限要和同目录中其他文件相同)
5)启动Confluence
2.对于 Confluence 7.0.0 - 7.14.2
1)关闭 Confluence
2)下载新的jar包到Confluence 服务器:
-
xwork-1.0.3-atlassian-10.jar
-
webwork-2.1.5-atlassian-4.jar
-
CachedConfigurationProvider.class
3)从Confluence 安装目录中移除旧的jar包,如:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar4)将先前下载的xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar包,复制到Confluence 安装目录:
<confluence-install>/confluence/WEB-INF/lib/(这里要注意新的jar包权限要和同目录中其他文件相同)
5)切换到目录
-
创建一个名为
webwork的新目录将CachedConfigurationProvider.class复制到(确保权限和所有权和同目录文件相同)
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork -
启动 Confluence
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
参考链接
https://www.atlassian.com/software/confluence/download-archives
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/
墨菲安全的开源工具帮您快速检测代码安全
开源地址:
https://github.com/murphysecurity/
产品官网:
https://murphysec.com
-
开源CLI工具
使用文档:
https://www.murphysec.com/docs/quick-start/setup/
检测代码依赖的安全问题,通过准确的修复方案和一键修复功能,快速解决安全问题。
-
IDE 插件
Jetbrains 插件市场 搜索“murphysec”即可安装
-
GitLab全量代码检测
使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测
工具地址:
https://github.com/murphysecurity/murphysec-gitlab-scanner
具体使用方式可参考项目 README
以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。
【关于墨菲安全】
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署,目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户,公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。
原文始发于微信公众号(墨菲安全实验室):【风险预警】Confluence Wiki OGNL注入漏洞(CVE-2022-26134)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论