[CVE-2022-26134] Remote code execution via OGNL injection in Confluence Server & Data Center
Severity: CRITICAL
CVSS v3 score: 10.0
Exploitability Metrics
| Attack Vector | Network |
|---|---|
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
Scope Metric
| cope | Changed |
|---|
Impact Metrics
| Confidentiality | High |
|---|---|
| Integrity | High |
| Availability | High |
Thông tin về CVE-2022-26134
Một lỗ hổng bảo mật Zero-day trên sản phẩm Confluence Data Center và Confluence Server của Atlassian vừa được phát hiện ngày 31 tháng 5 năm 2022.
Ngay sau khi nhận được thông báo từ Volexity về sự tồn tại của lỗ hổng, Atlassian đã xác nhận và công bố CVE tương ứng vào ngày 2 tháng 6: CVE-2022-26134 (CVSS Score: 10, CVSS Severity: Critical).
Trên các versions bị ảnh hưởng của Confluence Server và Data Center tồn tại lỗ hổng OGNL injection, khai thác thành công có thể cho phép người dùng chưa xác thực thực thi mã bất kì trên Confluence Server hoặc Data Center.
Mã khai thác hiện đã được công bố rộng rãi trên internet: https://github.com/Nwqda/CVE-2022-26134.
Payload GET các bạn quản trị viên để kiểm tra trên hệ thống web log của mình nếu không forward về Blue Team:
${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(COMMAND ex: "cat /etc/passwd").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))}
Các sản phẩm bị ảnh hưởng:
Tất cả các versions được hỗ trợ của Confluence Server và Confluence Data Center:
- from 1.3.0 before 7.4.17,
- from 7.13.0 before 7.13.7,
- from 7.14.0 before 7.14.3,
- from 7.15.0 before 7.15.2,
- from 7.16.0 before 7.16.4,
- from 7.17.0 before 7.17.4,
- from 7.18.0 before 7.18.1.
Tuy nhiên nếu Confluence truy cập được qua miền atlassian.net tức đang được host trên Atlassian Cloud thì không bị ảnh hưởng.
Fixed versions:
Alassian vừa release các versions sau để sửa lỗi:
- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1
- Giải pháp:
Nâng cấp Confuence Server và Data Center tới phiên bản Long Term Support mới nhất (7.13.7) hoặc phiên bản fixed version từ https://www.atlassian.com/software/confluence/download-archives . - Nếu Confluence được chạy trong cluster, việc nâng cấp tới fixed versions sẽ có downtime, Atlassian khuyến nghị tham khảo và thực hiện theo các bước tại https://confluence.atlassian.com/doc/upgrading-confluence-data-center-1507377.html .
- Atlassina cũng có giải pháp tạm thời cho các trường hợp không thể nâng cấp Confluence. Người dùng cần tải và thay thế các files cập nhật Java Archive, Java class từ Atlassian cho từng version cụ thể theo hướng dẫn phần Mitigation tại: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html .
- Đảm bảo các dịch vụ Confluence public ra Internet được giám sát chặt chẽ và có chính sách lưu giữ log để được hỗ trợ trong trường hợp có sự cố.
- Giám sát các tiến trình con của ứng dụng web để phát hiện các tiến trình bất thường (Ví dụ Python shell).
Nếu có thể, triển khai tường lửa chặn truy cập đối với các địa chỉ IP (ACLs):
- 156.146.34.46
- 156.146.34.9
- 156.146.56.136
- 198.147.22.148
- 45.43.19.91
- 66.115.182.102
- 66.115.182.111
- 67.149.61.16
- 154.16.105.147
- 64.64.228.239
- 156.146.34.52
- 154.146.34.145
- 221.178.126.244
- 59.163.248.170
- 98.32.230.38
Tham khảo:
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html