漏洞公告
近日,安恒信息CERT监测到Atlassian官方发布Confluence安全公告,修复了Confluence Server and Data Center的一处远程代码执行漏洞(CVE-2022-26134),未经身份验证的攻击者可利用该漏洞在目标服务器上执行任意代码。此漏洞影响范围广泛,目前漏洞细节及POC已公开,建议使用该组件的用户尽快采取安全措施。
参考链接:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
一
影响范围
受影响版本:
Confluence Server and Data Center >= 1.3.0
Confluence Server and Data Center < 7.4.17
Confluence Server and Data Center < 7.13.7
Confluence Server and Data Center < 7.14.3
Confluence Server and Data Center < 7.15.2
Confluence Server and Data Center < 7.16.4
Confluence Server and Data Center < 7.17.4
Confluence Server and Data Center < 7.18.1
安全版本:
Confluence Server and Data Center 7.4.17
Confluence Server and Data Center 7.13.7
Confluence Server and Data Center 7.14.3
Confluence Server and Data Center 7.15.2
Confluence Server and Data Center 7.16.4
Confluence Server and Data Center 7.17.4
Confluence Server and Data Center 7.18.1
通过安恒SUMAP平台对全球部署的Confluence进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
Confluence Server and Data Center存在一个远程代码执行漏洞,未经身份验证的攻击者可以利用该漏洞向目标服务器注入恶意ONGL表达式,进而在目标服务器上执行任意代码。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 已公开 | 已公开 | 存在 |
三
缓解措施
高危:目前漏洞细节和利用代码已公开,官方已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本。
官方修复建议:
1、升级到Atlassian Confluence Server and Data Center至安全版本。
下载链接:
https://www.atlassian.com/software/confluence/download-archives
临时缓解措施:
1、对于Confluence 7.15.0 - 7.18.0版本:
(1) 关闭Confluence;
(2) 将以下xwork-1.0.3-atlassian-10.jar文件下载到Confluence服务器:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar(3) 删除以下JAR文件(或将以下文件移出Confluence 安装目录):
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar(4) 将下载的xwork-1.0.3-atlassian-10.jar复制到以下目录:
<confluence-install>/confluence/WEB-INF/lib/(5) 检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配;
(6) 启动Confluence。
注意:如果在集群中运行Confluence,请确保在每个节点上重复这个过程,无需关闭整个集群即可应用此缓解措施。
2、对于Confluence 7.0.0 - Confluence 7.14.2版本:
(1) 关闭Confluence;
(2) 将以下三个文件下载到Confluence服务器:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jarhttps://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jarhttps://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
(3) 删除以下JAR文件(或将以下文件移出Confluence 安装目录):
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
(4) 将下载的xwork-1.0.3-atlassian-10.jar和webwork-2.1.5-atlassian-4.jar复制到以下目录:
<confluence-install>/confluence/WEB-INF/lib/(5) 检查两个JAR文件文件的权限和所有权是否与同一目录中的现有文件匹配;
(6) 切换到以下目录:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setupa. 创建一个名为的新目录webwork;
b. 将CachedConfigurationProvider.class复制到以下目录:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webworkc. 确保权限和所有权正确:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
(7) 启动Confluence。
注意:如果在集群中运行Confluence,请确保在每个节点上重复这个过程,无需关闭整个集群即可应用此缓解措施。
3、如果无法采取上述措施,可以利用 WAF 拦截 URL 中包含 ${ 的请求。
官方公告地址:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
四
产品防护方案
目前安恒信息防护类产品均已经集成漏洞防护能力,可通过前往“安恒社区”下载对应产品的策略升级包进行升级。
AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到1.1.676版本(AiNTA-v1.2.2_release_ruletag_1.1.676)及以上版本。
规则名称:Confluence远程代码执行漏洞(CVE-2022-26134)
规则编号:93009519
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
如果没有账号,请从页面注册账号。
明御APT攻击预警平台
APT攻击预警平台已经在第一时间加入了对该漏洞的检测,请将规则包升级到GoldenEyeIPv6_BFF1B_strategy2.0.25989及以上版本。
规则名称:Confluence远程代码执行漏洞(CVE-2022-26134)
规则编号:93009519
明御Web应用防火墙
明御Web应用防火墙已默认支持对Confluence远程代码执行漏洞(CVE-2022-26134)的防护。
玄武盾websaas
玄武盾websaas目前已经集成了Confluence远程代码执行漏洞(CVE-2022-26134)的扫描和防护能力。
扫描器
(1)明鉴漏洞扫描系统已具备CVE-2022-26134的检测能力,将策略库升级至V1.3.665.652版本。
升级方法:系统管理-系统服务-系统升级-立即升级 可通过网络在线升级至最新版本,或通过离线下载升级包后至系统管理-系统服务-系统升级-选择离线包上传升级包,升级成功后策略库为最新版本。
策略库离线下载地址:http://www.websaas.com.cn:18081/pages/productInfo.html?id=c189a3e6-1319-bc3e-434c-d263de0dd754
(2)云鉴版漏洞扫描系统已具备CVE-2022-26134的检测能力,将策略库升级至V1.3.665.652版本,具体的升级方式为离线上传更新。具体升级方式可联系安恒信息技术支持。
(3)WebScan7.0(原Web应用弱点扫描器) 已具备最新的Confluence远程代码执行漏洞(CVE-2022-26134)的检测能力,将策略库升级至v1.0.1.25版本,具体的升级方式为一键在线升级。
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):Confluence远程代码执行漏洞风险提示(CVE-2022-26134)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论