Atlassian Confluence 中的关键缺陷被积极利用

黑客已经开始利用最近在 Atlassian Confluence 服务器和数据中心中修补的一个关键的远程代码执行漏洞。一些攻击部署了加密货币挖掘恶意软件，但 Atlassian 产品过去也曾成为网络间谍组织的目标。

“坏包蜜罐检测到来自俄罗斯、香港、巴西、尼泊尔、波兰、罗马尼亚、爱沙尼亚、美国和意大利的主机针对 Atlassian Confluence RCE 漏洞 CVE-2021-26084 的大规模扫描和利用活动，”威胁情报公司坏包告诉 CSO。“已公开发布了多个概念证明，展示了如何利用此漏洞。”

Webwork OGNL 注入

根据 Atlassian 的说法，CVE-2021-26084 是一个 OGNL 注入问题，它允许经过身份验证的用户（在某些情况下未经身份验证的用户）在运行受影响产品版本的服务器上执行任意代码。Object-Graph Navigation Language (OGNL) 是一种开源表达式语言，用于获取和设置 Java 对象的属性。

Atlassian Confluence 是一个基于 Web 的团队协作平台，用 Java 编写，用于管理组织可以在自己的服务器上本地运行的工作区和项目。Atlassian Data Center 是功能更丰富的 Confluence 版本，支持团队日历、分析、更高级的权限管理、内容交付网络支持等。

该漏洞影响了 6.13.23、7.4.11、7.11.6、7.12.5 和 7.13.0 版本之前的所有 Atlassian Confluence 和数据中心版本，这些版本于 8 月 25 日发布，用于仍然支持的软件分支。但是，Atlassian 建议尽可能升级到 7.13.x 分支中的最新版本，该版本有长期支持。还提供了可以在 Linux 或 Windows 主机上运行的手动补丁脚本作为无法执行完整升级的用户的临时解决方法。

根据 Atlassian 的公告，该漏洞是由名为 Benny Jacob (SnowyOwl) 的研究人员通过 Atlassian 漏洞赏金计划报告的，这表明该漏洞在发现时并未被广泛利用。

然而，从那时起，其他研究人员分析了该补丁并撰写了有关该错误的详细报告，并附有概念验证漏洞。此外，尽管 Atlassian 表示“在某些情况下”未经身份验证的用户可以利用该问题，但未经身份验证的漏洞利用路径的存在可能比用户预期的更常见。

“例如，简单地访问 /pages/doenterpagevariables.action 应该会呈现经过修改的速度模板文件，即 createpage-entervariables.vm，”安全研究员和漏洞猎人 Harsh Jaiswal 在对该漏洞的分析中说。“请记住，无论您打开注册功能，任何呈现此模板的路由都会导致漏洞 [to] 完全未经授权存在。”

与所有注入类型的漏洞一样，目标是将代码注入到预期的用户输入中，这些代码将由应用程序脱离上下文进行评估和执行。在这种特殊情况下，攻击者可以包含将在操作系统上执行的命令行 (bash) 命令。Confluence 代码确实使用 isSafeExpression 方法来评估硬编码恶意属性和方法的 OGNL 表达式，但与大多数基于黑名单的方法一样，攻击者和研究人员通常可以找到绕过它们的方法，在这种情况下也是如此。

过去的攻击

加密货币矿工是 Web 应用程序中远程代码执行漏洞的流行负载，因为它们为攻击者提供了一种简单的方法，可以直接通过访问底层服务器获利。但是，如果受影响的 Web 服务器没有正确地与网络的其余部分隔离，此类访问也可用于部署更隐蔽的后门，这些后门稍后可用于企业网络内部的横向移动。

2019 年，安全和事件响应公司 FireEye 发布了一份关于被追踪为 APT41 的中国黑客组织的攻击报告，其中该组织利用了 Atlassian Confluence 中的路径遍历和远程代码执行漏洞 ( CVE-2019-3396 )，以便破坏美国研究型大学的网络服务器。APT41 是一个双重间谍和财务重点组织，有将最近披露的漏洞武器化的历史，通常是在公开披露后的几天内。在该特定攻击中，该组织利用 Confluence 漏洞部署了一个 web shell 和一个后门程序。

Bad Packets 告诉 CSO，它过去没有专门观察到针对 Confluence 的攻击，但它已经看到攻击利用其他 Atlassian 产品中的漏洞，包括 Atlassian Crowd RCE CVE-2019-11580、Atlassian Jira SSRF CVE-2019-8451 和 Atlassian Jira未经身份验证的信息披露 CVE-2020-36289。