网安 - 专业的网络安全产业、社区、知识平台

Atlassian发布远程代码执行漏洞,启明星辰提供扫描和消控方案

VSole2022-06-05 15:24:12

近期,启明星辰集团北冥数据实验室在漏洞监控中监测到Atlassian 官方发布了Confluence Server OGNL 注入漏洞(CVE-2022-26134)的安全公告。北冥数据实验室在第一时间对Atlassian发布的安全公告进行分析研判,结合启明星辰泰合盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。



漏洞分析


漏洞源于应用并未有效验证或过滤用户提交的URL参数,在使用特殊的Java序列号参数作为URL参数时,应用会执行URL中定义的命令并且以特殊设置的返回头例如X-Cmd-Response 返回命令的执行结果。


复现截图


漏洞检测


启明星辰天镜脆弱性扫描与管理系统已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:


6070版本升级包为607000440,升级包下载地址:

https://venustech.download.venuscloud.cn/


升级后已支持该漏洞


请使用启明星辰天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。


修复建议


目前Atlassian官方已发布正式补丁对该漏洞进行修复,请根据自身资产环境考虑升级官方补丁或采取临时缓解措施有效防护自身资产环境并阻断利用链条。


官方升级补丁


官方建议用户升级至最新版本,以保证服务的安全性及稳定性。下载链接:

https://www.atlassian.com/software/confluence/download-archives


请升级至以下版本:

Atlassian Confluence Server and Data Center 7.4.17

Atlassian Confluence Server and Data Center 7.13.7

Atlassian Confluence Server and Data Center 7.14.3

Atlassian Confluence Server and Data Center 7.15.2

Atlassian Confluence Server and Data Center 7.16.4

Atlassian Confluence Server and Data Center 7.17.4

Atlassian Confluence Server and Data Center 7.18.1


临时缓解措施


(1)对于 Confluence 7.15.0 - 7.18.0:


如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。


1、关闭 Confluence。

2、下载 xwork-1.0.3-atlassian-10.jar 到Confluence服务器。链接:

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

3、将xwork-1.0.3-atlassian-8.jar删除或移出Confluence 安装目录。文件路径:

/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar


注意:请用户不要在该目录中留下旧JAR文件的副本。

4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:

/confluence/WEB-INF/lib/


5、检查xwork-1.0.3-atlassian-10.jar文件权限是否与同一目录中的其他文件相同。

6、重启 Confluence。

请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。


(2)对于Confluence 7.0.0 - Confluence 7.14.2:


如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。


1、关闭 Confluence。

2、下载 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三个文件到 Confluence Windows 服务器。链接分别为:

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar

https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class


3、将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence 安装目录。文件路径分别为:


/confluence/WEB-INF/lib/xwork-1.0.3.6.jar

/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar


注意:请用户不要在该目录中留下以上旧JAR文件的副本。

4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:

 /confluence/WEB-INF/lib/


5、将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径:


/confluence/WEB-INF/lib/


6、检查下载的新文件权限是否与同一目录中的其他文件相同。

7、切换到以下目录

/confluence/WEB-INF/classes/com/atlassian/confluence/setup


(a)在setup目录下创建一个名为webwork的新目录

(b)将CachedConfigurationProvider.class复制到创建好的webwork目录中。目录路径:


/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork


(c)检查CachedConfigurationProvider.class文件权限是否与同一目录中的其他文件相同。

8、重启 Confluence。

请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。

参考链接:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html


ATT&CK攻击链分析与处置建议


ATT&CK攻击链分析


通过对Atlassian onfluence Server和Data Center 中的OGNL 注入漏洞(CVE-2022-26134)利用过程进行分析,其漏洞利用入侵过程为:


该漏洞属于未经身份验证的远程代码执行漏洞,远程恶意入侵者在未经身份验证的情况下,可以利用该漏洞通过发送恶意的Web请求注入命令,在目标Atlassian Confluence Server and Data Center服务器上注入恶意OGNL表达式,实现在Confluence Server或Data Center实例上远程执行任意代码,并部署WebShell。


通过对漏洞利用入侵过程(攻击链)的分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:


初始访问(TA0001):利用面向公众的应用程序T1190

权限提升(TA0004):提权利用T1068

持久化(TA0003)  :Web Shell T1505.003


处置方案建议和SOAR剧本编排



通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。



受影响的产品及版本详情:

Atlassian Confluence Server and Data Center >= 1.3.0

Atlassian Confluence Server and Data Center < 7.4.17

Atlassian Confluence Server and Data Center < 7.13.7

Atlassian Confluence Server and Data Center < 7.14.3

Atlassian Confluence Server and Data Center < 7.15.2

Atlassian Confluence Server and Data Center < 7.16.4

Atlassian Confluence Server and Data Center < 7.17.4

Atlassian Confluence Server and Data Center < 7.18.1


北冥数据实验室


北冥数据实验室成立于2022年3月,致力于网络空间安全知识工程研究和体系化建设的专业团队,由启明星辰集团天镜漏洞研究团队、泰合知识工程团队、大数据实验室(BDlab)场景化分析团队联合组成。


北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和安全运营提供知识赋能。

启明星辰confluence
本作品采用《CC 协议》,转载必须注明作者和本文链接
Atlassian发布远程代码执行漏洞,启明星提供扫描和消控方案
2022-06-05 15:24:12
近期,启明星集团北冥数据实验室在漏洞监控中监测到Atlassian 官方发布了Confluence Server OGNL 注入漏洞(CVE-2022-26134)的安全公告。北冥数据实验室在第一时间对Atlassian发布的安全公告进行分析研判,结合启明星泰合盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
Apache Struts2爆高危漏洞 启明星提供扫描和消控方案
2022-04-14 14:58:44
近期,启明星漏扫团队在漏洞监控中发现Apache Struts2存在远程代码执行漏洞,Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
高危代码注入漏洞来袭!启明星提供解决方案~
2021-09-19 12:06:29
近日,Microsoft官方发布公告,披露了一个microsoft Azure Open Management Infrastructure 代码注入漏洞(CVE-2021-38647),入侵者利用漏洞可完全控制服务器。
关于Apache Struts2安全漏洞的通报
2022-04-18 18:26:59
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2安全漏洞(CNNVD-202204-3223、CVE-2021-31805)情况的报送。成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。目前,Apache官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取
一文读懂HW护网行动
2022-07-26 12:00:00
随着《网络安全法》和《等级保护制度条例2.0》的颁布,国内企业的网络安全建设需与时俱进,要更加注重业务场景的安全性并合理部署网络安全硬件产品,严防死守“网络安全”底线。“HW行动”大幕开启,国联易安誓为政府、企事业单位网络安全护航!
启明星喜提“金智奖-年度优秀解决方案奖”
2023-11-30 21:01:13
近日,由信息安全与通信保密杂志社主办的2022-2023年度中国网络安全与信息产业“金智奖”评选结果重磅揭晓。
启明星集团IDS/IPS排名第一
2023-11-23 20:10:42
2022年,启明星集团IDS/IPS以16.9%的份额占据市场第一
启明星与中国移动上海公司联合举办基金同业网络安全建设研讨会
2022-12-05 16:18:00
大咖齐聚一堂,共话金融网络安全建设。
启明星从“五大视角”谈关基领域工控系统安全防御建设
2022-10-27 17:46:40
据统计,在关基领域,70%以上与工业系统密切相关,80%以上的工业系统强依赖工业发达国家,成为有组织性蓄意攻击的核心目标。完善基于业务保障的国家统一在线监测网络目前,国家建立了不同行业的网络安全监管网络平台,进一步推动关基领域工控安全产业协同。此外,网络威胁情报是及时防范处置关基风险隐患的基础和前提。
启明星展示端点安全应如何更好防护
2022-10-19 18:01:59
端点安全能力薄弱,将导致整体网络安全的功亏一篑。启明星的端点安全建议当前企业面临的情况往往会更加复杂化、多元化,它的业务形态和环境现在也不局限于某一种形式。因此宋晓鹏建议在安全防护中,形成一整套完整的安全防护体系,让技术与管理去并行,建设与意识同步提升。
VSole
网络安全专家