风险通告
近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置 > 用户管理(User Management) > 用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。
目前,奇安信CERT已监测到Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)细节及PoC流出,攻击者可在无需身份认证的情况下远程执行代码。经验证在默认配置下该PoC可用,漏洞现实威胁提升。目前官方已发布修复版本和缓解措施,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。
新增产品线解决方案
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是 |
已公开 |
已公开 |
已发现 |
Atlassian Confluence是一个专业的企业知识管理与协同软件,并支持用于构建企业WiKi。
近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。
目前,奇安信CERT已监测到Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)细节及PoC流出,攻击者可在无需身份认证的情况下远程执行代码。经验证在默认配置下该PoC可用,漏洞现实威胁提升。目前官方已发布修复版本和缓解措施,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。
1、CVE-2021-26084 Atlassian Confluence OGNL注入漏洞
|
漏洞名称 |
Atlassian Confluence OGNL注入漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-26084 |
|
公开状态 |
已公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Atlassian Confluence Server and Data Center允许经过身份验证的攻击者(在某些场景下无需身份验证),利用该漏洞在系统上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html |
|||||
奇安信CERT已复现Atlassian Confluence OGNL注入漏洞(CVE-2021-26084),复现截图如下:
奇安信 CERT风险评级为:高危
Atlassian Confluence Server and Data Center version < 6.13.23
6.14.0 ≤ Atlassian Confluence Server and Data Center version < 7.4.11
7.5.0 ≤ Atlassian Confluence Server and Data Center version < 7.11.5
7.12.0 ≤ Atlassian Confluence Server and Data Center version < 7.12.5
其中Atlassian Confluence Cloud不受影响
1、升级到以下安全版本:
6.13.23、7.4.11、7.11.6、7.12.5、7.13.0
补丁链接:
https://www.atlassian.com/software/confluence/download-archives
2、缓解措施
如果不能直接升级软件版本则使用如下缓解措施:
Linux系统:
ls -l /opt/atlassian/confluence | grep bindrwxr-xr-x 3 root root 4096 Aug 18 17:07 bin# In this first example, we change to the 'root' userto run the workaround script$ sudo su rootls -l /opt/atlassian/confluence | grep bindrwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin# In this second example, we need to change to the 'confluence' userto run the workaround script$ sudo su confluence
./cve-2021-26084-update.shWindows系统:
Get-Content .cve-2021-26084-update.ps1 | powershell.exe -noprofile –注:如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本来缓解此漏洞。
奇安信网神统一服务器安全管理平台更新入侵防御规则库
奇安信网神虚拟化安全轻代理版本将于9月2日发布入侵防御规则库2021.09.02版本,支持对Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。
奇安信网神统一服务器安全管理平台将于9月2日发布入侵防御规则库10408版本,支持对Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)的防护。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6838,建议用户尽快升级检测规则库至2109011100以后版本并启用该检测规则。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0901.13016上版本。规则名称:Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),规则ID:0x10020DE2。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2109011200” 及以上版本并启用规则ID: 1249301进行检测。
2021年8月26日,奇安信 CERT发布安全风险通告
2021年9月1日,奇安信CERT发布安全风险通告第二次更新
本文始发于微信公众号(奇安信 CERT):【通告更新】细节及PoC流出,Atlassian Confluence远程代码执行漏洞安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论