警惕！Atlassian Confluence远程代码执行漏洞通告

漏洞描述

近日，亚信安全CERT监测到Confluence远程代码执行漏洞（CVE-2022-26134）的在野利用。该漏洞影响Confluence Server和Confluence Data Center，经过身份认证（某些场景无需身份认证）的攻击者，可利用该漏洞进行OGNL注入，在远程服务器上执行任意代码，进而控制服务器。经亚信安全CERT技术研判，该漏洞范围较大且目前在野利用，目前官方已发布漏洞补丁，建议使用Atlassian Confluence的用户尽快自查并修复漏洞。

Atlassian Confluence Server是一套专业的企业知识管理与协同软件，也可以用于构建企业WiKi，其客户遍布全球，目前有超过75,000家客户使用该产品。

漏洞编号及评分

CVE-2022-26134（CVSS V3：9.8 ）

漏洞状态

漏洞细节	漏洞PoC	漏洞EXP	在野利用
已公开	已公开	已公开	存在

亚信安全产品解决方案

亚信安全信桅深度威胁发现设备（TDA）已经支持对上述提及漏洞的检测：

产品	版本号	规则包版本
TDA	6.0	1.0.0.114
TDA	7.0	1.0.0.116

漏洞复现

受影响的版本

✓Atlassian Confluence Server and Data Center < 7.4.17

✓Atlassian Confluence Server and Data Center < 7.13.7

✓Atlassian Confluence Server and Data Center < 7.14.3

✓Atlassian Confluence Server and Data Center < 7.15.2

✓Atlassian Confluence Server and Data Center < 7.16.4

✓Atlassian Confluence Server and Data Center < 7.17.4

✓Atlassian Confluence Server and Data Center < 7.18.1

修复建议

官方补丁

?Atlassian Confluence Server and Data Center 7.4.17

?Atlassian Confluence Server and Data Center 7.13.7

?Atlassian Confluence Server and Data Center 7.14.3

?Atlassian Confluence Server and Data Center 7.15.2

?Atlassian Confluence Server and Data Center 7.16.4

?Atlassian Confluence Server and Data Center 7.17.4

?Atlassian Confluence Server and Data Center 7.18.1

下载地址：

https://www.atlassian.com/software/confluence/download-archives

临时修复方案

WAF设置阻止包含 ${ 的URL的规则
限制从互联网直接访问Confluence Server和Data Center实例

官方缓解措施

向上滑动阅览

※ 对于 Confluence 7.15.0 - 7.18.0

如果在集群中运行Confluence，需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施

关闭Confluence
将以下1个文件下载到Confluence服务器：

xwork-1.0.3-atlassian-10.jar
删除（或将以下JAR移出Confluence安装目录）：

Plaintext

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

注意：不要在目录中留下这个旧JAR 的副本。

将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配。
启动Confluence

请记住，如果在集群中运行Confluence，请确保在所有节点上应用上述更新。

※ 对于 Confluence 7.0.0 - Confluence 7.14.2

如果在集群中运行Confluence，需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施。

关闭Confluence
将以下3个文件下载到Confluence服务器：

xwork-1.0.3-atlassian-10.jar

CachedConfigurationProvider.class

webwork-2.1.5-atlassian-4.jar
删除（或将以下JAR移到Confluence安装目录之外）：

Plaintext
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

注意：不要在目录中留下旧JAR的副本

将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/
检查两个新文件的权限和所有权是否与同一目录中的现有文件匹配。
切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

a.创建一个名为的新目录webwork

b.将CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

c.确保权限和所有权正确：

Plaintext

<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

Plaintext

<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
启动Confluence

请记住，如果在集群中运行Confluence，请确保在所有节点上应用上述更新。

参考链接

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

行业热点：

警惕！利用Github进行水坑攻击安全风险通告

警惕！OpenSSL多个高危漏洞预警

警惕！Oracle WebLogic多个组件漏洞安全风险通告

警惕！9.8分高危远程代码执行漏洞风险通告