Atlassian發布遠程代碼執行漏洞,啟明星辰提供掃描和消控方案
近期,啟明星辰集團北冥數據實驗室在漏洞監控中監測到Atlassian 官方發布了Confluence Server OGNL 注入漏洞(CVE-2022-26134)的安全公告。北冥數據實驗室在第一時間對Atlassian發布的安全公告進行分析研判,結合啟明星辰泰合盤古平臺(THPangu-OS)的底座能力,為廣大用戶給出應急處置指引方案。
漏洞分析
漏洞源于應用并未有效驗證或過濾用戶提交的URL參數,在使用特殊的Java序列號參數作為URL參數時,應用會執行URL中定義的命令并且以特殊設置的返回頭例如X-Cmd-Response 返回命令的執行結果。
復現截圖
漏洞檢測
啟明星辰天鏡脆弱性掃描與管理系統已緊急發布針對該漏洞的升級包,支持對該漏洞進行授權掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:
6070版本升級包為607000440,升級包下載地址:
https://venustech.download.venuscloud.cn/
升級后已支持該漏洞
請使用啟明星辰天鏡脆弱性掃描與管理系統產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。
修復建議
目前Atlassian官方已發布正式補丁對該漏洞進行修復,請根據自身資產環境考慮升級官方補丁或采取臨時緩解措施有效防護自身資產環境并阻斷利用鏈條。
官方升級補丁
官方建議用戶升級至最新版本,以保證服務的安全性及穩定性。下載鏈接:
https://www.atlassian.com/software/confluence/download-archives
請升級至以下版本:
Atlassian Confluence Server and Data Center 7.4.17
Atlassian Confluence Server and Data Center 7.13.7
Atlassian Confluence Server and Data Center 7.14.3
Atlassian Confluence Server and Data Center 7.15.2
Atlassian Confluence Server and Data Center 7.16.4
Atlassian Confluence Server and Data Center 7.17.4
Atlassian Confluence Server and Data Center 7.18.1
臨時緩解措施
(1)對于 Confluence 7.15.0 - 7.18.0:
如果在集群中運行 Confluence,則需要在每個節點上重復此過程。您不需要關閉整個集群。
1、關閉 Confluence。
2、下載 xwork-1.0.3-atlassian-10.jar 到Confluence服務器。鏈接:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
3、將xwork-1.0.3-atlassian-8.jar刪除或移出Confluence 安裝目錄。文件路徑:
/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:請用戶不要在該目錄中留下舊JAR文件的副本。
4、將下載的xwork-1.0.3-atlassian-10.jar文件復制到以下目錄中。目錄路徑:
/confluence/WEB-INF/lib/
5、檢查xwork-1.0.3-atlassian-10.jar文件權限是否與同一目錄中的其他文件相同。
6、重啟 Confluence。
請記住,如果您在集群中運行 Confluence,請確保在所有節點上運行此腳本。
(2)對于Confluence 7.0.0 - Confluence 7.14.2:
如果在集群中運行 Confluence,則需要在每個節點上重復此過程。您不需要關閉整個集群。
1、關閉 Confluence。
2、下載 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三個文件到 Confluence Windows 服務器。鏈接分別為:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
3、將xwork-1.0.3.6.jar與webwork-2.1.5-atlassian-3.jar刪除或移出Confluence 安裝目錄。文件路徑分別為:
/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:請用戶不要在該目錄中留下以上舊JAR文件的副本。
4、將下載的xwork-1.0.3-atlassian-10.jar文件復制到以下目錄中。目錄路徑:
/confluence/WEB-INF/lib/
5、將下載的webwork-2.1.5-atlassian-4.jar文件復制到以下目錄中。目錄路徑:
/confluence/WEB-INF/lib/
6、檢查下載的新文件權限是否與同一目錄中的其他文件相同。
7、切換到以下目錄
/confluence/WEB-INF/classes/com/atlassian/confluence/setup
(a)在setup目錄下創建一個名為webwork的新目錄
(b)將CachedConfigurationProvider.class復制到創建好的webwork目錄中。目錄路徑:
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
(c)檢查CachedConfigurationProvider.class文件權限是否與同一目錄中的其他文件相同。
8、重啟 Confluence。
請記住,如果您在集群中運行 Confluence,請確保在所有節點上運行此腳本。
參考鏈接:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
ATT&CK攻擊鏈分析與處置建議
ATT&CK攻擊鏈分析
通過對Atlassian onfluence Server和Data Center 中的OGNL 注入漏洞(CVE-2022-26134)利用過程進行分析,其漏洞利用入侵過程為:
該漏洞屬于未經身份驗證的遠程代碼執行漏洞,遠程惡意入侵者在未經身份驗證的情況下,可以利用該漏洞通過發送惡意的Web請求注入命令,在目標Atlassian Confluence Server and Data Center服務器上注入惡意OGNL表達式,實現在Confluence Server或Data Center實例上遠程執行任意代碼,并部署WebShell。
通過對漏洞利用入侵過程(攻擊鏈)的分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:
初始訪問(TA0001):利用面向公眾的應用程序T1190
權限提升(TA0004):提權利用T1068
持久化(TA0003) :Web Shell T1505.003
處置方案建議和SOAR劇本編排
通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置。
受影響的產品及版本詳情:
Atlassian Confluence Server and Data Center >= 1.3.0
Atlassian Confluence Server and Data Center < 7.4.17
Atlassian Confluence Server and Data Center < 7.13.7
Atlassian Confluence Server and Data Center < 7.14.3
Atlassian Confluence Server and Data Center < 7.15.2
Atlassian Confluence Server and Data Center < 7.16.4
Atlassian Confluence Server and Data Center < 7.17.4
Atlassian Confluence Server and Data Center < 7.18.1
北冥數據實驗室
北冥數據實驗室成立于2022年3月,致力于網絡空間安全知識工程研究和體系化建設的專業團隊,由啟明星辰集團天鏡漏洞研究團隊、泰合知識工程團隊、大數據實驗室(BDlab)場景化分析團隊聯合組成。
北冥數據實驗室始終秉持以需求為導向、知識賦能產品的核心理念,專注于提供網絡空間安全的基礎知識研究和開發,制定結合威脅和漏洞情報、網絡空間資產和云安全監測數據等綜合情報以及用戶實際場景的安全分析防護策略,構建自動化調查和處置響應措施,形成場景化、結構化的知識工程體系,對各類安全產品、平臺和安全運營提供知識賦能。
