【漏洞预警】CVE-2022-26134 Confluence 远程代码执行漏洞POC验证与修复过程
一、漏洞详情
Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
2022年6月3日,Atlassian官方发布官方公告,披露存在CVE-2022-26134 Confluence 远程代码执行漏洞在野攻击漏洞事件。漏洞利用无需身份认证,可直接前台远程执行任意代码。
漏洞详情:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。
目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。
(图片可点击放大查看)
二、漏洞检测
1、人工检测
用户可通过查看当前Confluence版本是否在受影响范围内,对当前服务是否受此漏洞影响进行排查。
点击图片,选择“关于Confluence”,即可对当前版本进行查看。
(图片可点击放大查看)
2、POC检测
如下图所示,POC脚本进行攻击测试
可以看出可以进行任意代码执行,直接拿到服务器Shell后台权限
(图片可点击放大查看)
三、漏洞防护措施
3.1 官方升级至安全版本
(图片可点击放大查看)
下载链接:https://www.atlassian.com/software/confluence/download-archives
3.2、临时防护措施
对于 Confluence 7.15.0 - 7.18.0:aaa
(图片可点击放大查看)
对于Confluence 7.0.0 - Confluence 7.14.2:
(图片可点击放大查看)
免责声明:本文上述漏洞信息内容收集于互联网,如果有不妥之处,敬请谅解。如有侵权内容,请联系本文作者进行删除。
四、漏洞修复过程实践
下面以7.4.1版本为例,使用临时防护措施进行修复
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
修复过程
[root@centos ~]# cd /opt/CVE-2022-26134_repair/
[root@centos CVE-2022-26134_repair]# ll
total 524
-rw-r--r--. 1 root root 7186 Jun 5 10:55 CachedConfigurationProvider.class
-rw-r--r--. 1 root root 352630 Oct 14 2021 webwork-2.1.5-atlassian-4.jar
-rw-r--r--. 1 root root 170369 Jun 2 16:39 xwork-1.0.3-atlassian-10.jar
[root@centos CVE-2022-26134_repair]#
[root@centos CVE-2022-26134_repair]#
[root@centos CVE-2022-26134_repair]#
[root@centos CVE-2022-26134_repair]# cd /opt/atlassian/confluence/
[root@centos confluence]# ll
total 1340
-rw-r--r--. 1 root root 975517 Jun 5 10:33 atlassian-agent.jar
drwxr-xr-x. 3 root root 4096 Jun 5 10:35 bin
-rw-r--r--. 1 root root 19540 Jun 11 2020 BUILDING.txt
drwxr-xr-x. 3 root root 4096 Jun 5 10:31 conf
drwxr-xr-x. 27 root root 4096 Jun 5 10:31 confluence
-rw-r--r--. 1 root root 5545 Jun 11 2020 CONTRIBUTING.md
-rw-r--r--. 1 root root 128417 Jun 5 10:31 install.reg
drwxr-xr-x. 7 root root 4096 Jun 5 10:31 jre
drwxr-xr-x. 2 root root 4096 Jun 5 10:31 lib
-rw-r--r--. 1 root root 58153 Jun 11 2020 LICENSE
drwxr-xr-x. 2 root root 69632 Jun 5 10:31 licenses
drwx------. 2 confluence root 4096 Jun 5 10:35 logs
-rw-r--r--. 1 root root 2401 Jun 11 2020 NOTICE
-rw-r--r--. 1 root root 2291 Jun 11 2020 README.html
-rw-r--r--. 1 root root 3334 Jun 11 2020 README.md
-rw-r--r--. 1 root root 1202 Jun 11 2020 README.txt
-rw-r--r--. 1 root root 7072 Jun 11 2020 RELEASE-NOTES
-rw-r--r--. 1 root root 16738 Jun 11 2020 RUNNING.txt
drwxr-xr-x. 4 root root 4096 Jun 5 10:31 synchrony-proxy
drwx------. 3 confluence root 4096 Jun 5 10:39 temp
-rwx------. 1 root root 13586 Jun 11 2020 uninstall
drwxr-xr-x. 2 root root 4096 Jun 11 2020 webapps
drwx------. 3 confluence root 4096 Jun 5 10:35 work
[root@centos confluence]# cd confluence/WEB-INF/lib/
[root@centos lib]# mkdir /opt/old_backup
[root@centos lib]# mv xwork-1.0.3.6.jar /opt/old_backup/
[root@centos lib]# mv webwork-2.1.5-atlassian-3.jar /opt/old_backup/
[root@centos lib]# cp /opt/CVE-2022-26134_repair/xwork-1.0.3-atlassian-10.jar /opt/atlassian/confluence/confluence/WEB-INF/lib/
[root@centos lib]# cp /opt/CVE-2022-26134_repair/webwork-2.1.5-atlassian-4.jar /opt/atlassian/confluence/confluence/WEB-INF/lib/
[root@centos lib]#
[root@centos lib]# cd /opt/atlassian/confluence/confluence/WEB-INF/classes/com/atlassian/confluence/setup/
[root@centos setup]# ll
total 732
-rw-r--r--. 1 root root 280 Jun 11 2020 atlassian-bundled-plugins.zip
-rw-r--r--. 1 root root 737335 Jun 11 2020 demo-site.zip
-rw-r--r--. 1 root root 15 Jun 11 2020 hsqldb-server.acl
[root@centos setup]# mkdir webwork
[root@centos setup]# cd webwork/
[root@centos webwork]# cp /opt/CVE-2022-26134_repair/CachedConfigurationProvider.class ./
[root@centos webwork]#
(图片可点击放大查看)
重启confluence服务
/opt/atlassian/confluence/bin/stop-confluence.sh
/opt/atlassian/confluence/bin/start-confluence.sh
(图片可点击放大查看)
POC验证可以看到已经无法进行代码漏洞执行,漏洞修复成功