Atlassian发布远程代码执行漏洞,启明星辰提供扫描和消控方案
发布时间 2022-06-05近期,启明星辰集团北冥数据实验室在漏洞监控中监测到Atlassian 官方发布了Confluence Server OGNL 注入漏洞(CVE-2022-26134)的安全公告。北冥数据实验室在第一时间对Atlassian发布的安全公告进行分析研判,结合启明星辰泰合盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
漏洞分析
漏洞源于应用并未有效验证或过滤用户提交的URL参数,在使用特殊的Java序列号参数作为URL参数时,应用会执行URL中定义的命令并且以特殊设置的返回头例如X-Cmd-Response 返回命令的执行结果。
复现截图
漏洞检测
启明星辰天镜脆弱性扫描与管理系统已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000440,升级包下载地址:
https://venustech.download.venuscloud.cn/
升级后已支持该漏洞
请使用启明星辰天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
修复建议
目前Atlassian官方已发布正式补丁对该漏洞进行修复,请根据自身资产环境考虑升级官方补丁或采取临时缓解措施有效防护自身资产环境并阻断利用链条。
官方升级补丁
官方建议用户升级至最新版本,以保证服务的安全性及稳定性。下载链接:
https://www.atlassian.com/software/confluence/download-archives
请升级至以下版本:
Atlassian Confluence Server and Data Center 7.4.17
Atlassian Confluence Server and Data Center 7.13.7
Atlassian Confluence Server and Data Center 7.14.3
Atlassian Confluence Server and Data Center 7.15.2
Atlassian Confluence Server and Data Center 7.16.4
Atlassian Confluence Server and Data Center 7.17.4
Atlassian Confluence Server and Data Center 7.18.1
临时缓解措施
(1)对于 Confluence 7.15.0 - 7.18.0:
如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。
1、关闭 Confluence。
2、下载 xwork-1.0.3-atlassian-10.jar 到Confluence服务器。链接:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
3、将xwork-1.0.3-atlassian-8.jar删除或移出Confluence 安装目录。文件路径:
/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:请用户不要在该目录中留下旧JAR文件的副本。
4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
/confluence/WEB-INF/lib/
5、检查xwork-1.0.3-atlassian-10.jar文件权限是否与同一目录中的其他文件相同。
6、重启 Confluence。
请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。
(2)对于Confluence 7.0.0 - Confluence 7.14.2:
如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。
1、关闭 Confluence。
2、下载 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三个文件到 Confluence Windows 服务器。链接分别为:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
3、将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence 安装目录。文件路径分别为:
/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:请用户不要在该目录中留下以上旧JAR文件的副本。
4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
/confluence/WEB-INF/lib/
5、将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径:
/confluence/WEB-INF/lib/
6、检查下载的新文件权限是否与同一目录中的其他文件相同。
7、切换到以下目录
/confluence/WEB-INF/classes/com/atlassian/confluence/setup
(a)在setup目录下创建一个名为webwork的新目录
(b)将CachedConfigurationProvider.class复制到创建好的webwork目录中。目录路径:
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
(c)检查CachedConfigurationProvider.class文件权限是否与同一目录中的其他文件相同。
8、重启 Confluence。
请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。
参考链接:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
ATT&CK攻击链分析与处置建议
ATT&CK攻击链分析
通过对Atlassian onfluence Server和Data Center 中的OGNL 注入漏洞(CVE-2022-26134)利用过程进行分析,其漏洞利用入侵过程为:
该漏洞属于未经身份验证的远程代码执行漏洞,远程恶意入侵者在未经身份验证的情况下,可以利用该漏洞通过发送恶意的Web请求注入命令,在目标Atlassian Confluence Server and Data Center服务器上注入恶意OGNL表达式,实现在Confluence Server或Data Center实例上远程执行任意代码,并部署WebShell。
通过对漏洞利用入侵过程(攻击链)的分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:
初始访问(TA0001):利用面向公众的应用程序T1190
权限提升(TA0004):提权利用T1068
持久化(TA0003) :Web Shell T1505.003
处置方案建议和SOAR剧本编排
通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。
受影响的产品及版本详情:
Atlassian Confluence Server and Data Center >= 1.3.0
Atlassian Confluence Server and Data Center < 7.4.17
Atlassian Confluence Server and Data Center < 7.13.7
Atlassian Confluence Server and Data Center < 7.14.3
Atlassian Confluence Server and Data Center < 7.15.2
Atlassian Confluence Server and Data Center < 7.16.4
Atlassian Confluence Server and Data Center < 7.17.4
Atlassian Confluence Server and Data Center < 7.18.1
北冥数据实验室
北冥数据实验室成立于2022年3月,致力于网络空间安全知识工程研究和体系化建设的专业团队,由启明星辰集团天镜漏洞研究团队、泰合知识工程团队、大数据实验室(BDlab)场景化分析团队联合组成。
北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和安全运营提供知识赋能。
京公网安备11010802024551号