1.典型案例

本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告，LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中的攻击手法。

2.场景还原

2.1场景设置

攻击者利用CVE-2023-22527远程代码执行漏洞在服务器上执行命令，获取到服务器管理员权限。

2.2攻击路线图

2.3攻击复现

攻击者利用了CVE-2023-22527漏洞执行了命令，该站点的权限为nt authoritynetwork service（为内置系统账户仅可以访问本地资源和网络资源）。

攻击者使用Metasploit 中的"atlassian_confluence_rce_cve_2023_22527"获取nt authoritynetwork service权限shell接着利用RpcSs服务进行提权获得system权限。

上传AnyDesk启动进行远程控制。

3.漏洞详情

3.1漏洞名称

Velocity模板注入导致的远程代码执行漏洞。

3.2漏洞类型

远程代码执行。

3.3漏洞描述

CVE-2023-22527是Atlassian Confluence Data Center和Server中存在的一个高危模板注入漏洞，允许未经身份验证的攻击者远程执行任意代码（RCE）。以下是其描述：

1. 漏洞类型与影响

受影响产品：Atlassian Confluence（企业级协作与文档管理平台）

影响版本：

8.0.x、8.1.x、8.2.x、8.3.x、8.4.x；8.5.0 ≤ version ≤ 8.5.3。

2. 漏洞分析

漏洞点：位于/template/aui/text-inline.vm文件，攻击者可通过直接访问该路径注入恶意Velocity模板代码。

触发机制：parameters.label')")未对用户输入的label参数过滤，导致攻击者通过构造恶意OGNL表达式注入Struts2上下文，执行系统命令。

模板引擎缺陷：Velocity与Struts2集成时，未正确处理用户提供的参数，允许通过#request对象访问底层Java对象（如freemarker.template.utility.Execute类）。

4.应急响应排查

4.1 Web日志

通过web日志可看到黑客利用了CVE-2023-22527漏洞的payload，攻击直接发送POST请求至/template/aui/text-inline.vm，通过参数（如label和x）传递恶意Payload通过模板注入的方式，解析器会误将攻击者提供的表达式当做模板代码执行，从而触发远程代码执行（RCE）。

4.2 AnyDesk配置文件

可在”C:Users启动的用户名AppDataRoamingAnyDesk“下找到配置文件，攻击者加载的配置文件也会放在此目录下。

5.防范措施

5.1升级系统版本

官方缓解措施为：没有已知的解决方法。要修复此漏洞，请将每个受影响的产品安装更新到最新版本。

升级版本：Atlassian未发布安全补丁官网解释为：关键安全错误修复将向后移植。我们将为策略涵盖的版本发布新的维护版本，而不是二进制补丁。二进制补丁不再发布。建议升级至8.5.4或更高版本。

详情看其官网：https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

5.3网络防护

通过部署Web应用防火墙（WAF）拦截恶意请求，隔离核心服务到内网环境，限制公网暴露面，并配置防火墙规则仅开放必要端口。

5.4安全测试

定期进行渗透测试和代码审计，使用静态分析工具扫描代码风险，对需要执行外部代码的场景使用沙箱或容器隔离，降低漏洞利用可能性。

5.5意识培训

加强开发与运维团队的安全意识培训，熟悉常见漏洞（如OWASP Top 10）和防护措施，提升整体安全防护能力。