Atlassian Confluence 中的關鍵缺陷被積極利用

黑客已經開始利用最近在 Atlassian Confluence 服務器和數據中心中修補的一個關鍵的遠程代碼執行漏洞。一些攻擊部署了加密貨幣挖掘惡意軟件，但 Atlassian 產品過去也曾成為網絡間諜組織的目標。

“壞包蜜罐檢測到來自俄羅斯、香港、巴西、尼泊爾、波蘭、羅馬尼亞、愛沙尼亞、美國和意大利的主機針對 Atlassian Confluence RCE 漏洞 CVE-2021-26084 的大規模掃描和利用活動，”威脅情報公司壞包告訴 CSO。“已公開發布了多個概念證明，展示了如何利用此漏洞。”

Webwork OGNL 注入

根據 Atlassian 的說法，CVE-2021-26084 是一個 OGNL 注入問題，它允許經過身份驗證的用戶（在某些情況下未經身份驗證的用戶）在運行受影響產品版本的服務器上執行任意代碼。Object-Graph Navigation Language (OGNL) 是一種開源表達式語言，用于獲取和設置 Java 對象的屬性。

Atlassian Confluence 是一個基于 Web 的團隊協作平臺，用 Java 編寫，用于管理組織可以在自己的服務器上本地運行的工作區和項目。Atlassian Data Center 是功能更豐富的 Confluence 版本，支持團隊日歷、分析、更高級的權限管理、內容交付網絡支持等。

該漏洞影響了 6.13.23、7.4.11、7.11.6、7.12.5 和 7.13.0 版本之前的所有 Atlassian Confluence 和數據中心版本，這些版本于 8 月 25 日發布，用于仍然支持的軟件分支。但是，Atlassian 建議盡可能升級到 7.13.x 分支中的最新版本，該版本有長期支持。還提供了可以在 Linux 或 Windows 主機上運行的手動補丁腳本作為無法執行完整升級的用戶的臨時解決方法。

根據 Atlassian 的公告，該漏洞是由名為 Benny Jacob (SnowyOwl) 的研究人員通過 Atlassian 漏洞賞金計劃報告的，這表明該漏洞在發現時并未被廣泛利用。

然而，從那時起，其他研究人員分析了該補丁并撰寫了有關該錯誤的詳細報告，并附有概念驗證漏洞。此外，盡管 Atlassian 表示“在某些情況下”未經身份驗證的用戶可以利用該問題，但未經身份驗證的漏洞利用路徑的存在可能比用戶預期的更常見。

“例如，簡單地訪問 /pages/doenterpagevariables.action 應該會呈現經過修改的速度模板文件，即 createpage-entervariables.vm，”安全研究員和漏洞獵人 Harsh Jaiswal 在對該漏洞的分析中說。“請記住，無論您打開注冊功能，任何呈現此模板的路由都會導致漏洞 [to] 完全未經授權存在。”

與所有注入類型的漏洞一樣，目標是將代碼注入到預期的用戶輸入中，這些代碼將由應用程序脫離上下文進行評估和執行。在這種特殊情況下，攻擊者可以包含將在操作系統上執行的命令行 (bash) 命令。Confluence 代碼確實使用 isSafeExpression 方法來評估硬編碼惡意屬性和方法的 OGNL 表達式，但與大多數基于黑名單的方法一樣，攻擊者和研究人員通常可以找到繞過它們的方法，在這種情況下也是如此。

過去的攻擊

加密貨幣礦工是 Web 應用程序中遠程代碼執行漏洞的流行負載，因為它們為攻擊者提供了一種簡單的方法，可以直接通過訪問底層服務器獲利。但是，如果受影響的 Web 服務器沒有正確地與網絡的其余部分隔離，此類訪問也可用于部署更隱蔽的后門，這些后門稍后可用于企業網絡內部的橫向移動。

2019 年，安全和事件響應公司 FireEye 發布了一份關于被追蹤為 APT41 的中國黑客組織的攻擊報告，其中該組織利用了 Atlassian Confluence 中的路徑遍歷和遠程代碼執行漏洞 ( CVE-2019-3396 )，以便破壞美國研究型大學的網絡服務器。APT41 是一個雙重間諜和財務重點組織，有將最近披露的漏洞武器化的歷史，通常是在公開披露后的幾天內。在該特定攻擊中，該組織利用 Confluence 漏洞部署了一個 web shell 和一個后門程序。

Bad Packets 告訴 CSO，它過去沒有專門觀察到針對 Confluence 的攻擊，但它已經看到攻擊利用其他 Atlassian 產品中的漏洞，包括 Atlassian Crowd RCE CVE-2019-11580、Atlassian Jira SSRF CVE-2019-8451 和 Atlassian Jira未經身份驗證的信息披露 CVE-2020-36289。