Atlassian高危漏洞来袭，网御星云提供优选解决方案

近期，北冥数据实验室在漏洞监控中监测到Atlassian 官方发布了Confluence Server和Data Center

OGNL 注入漏洞（CVE-2022-26134）的安全公告。

 

1.1 基本描述

 

1.2 漏洞影响

受影响的产品及版本

Atlassian Confluence  Server and Data Center >= 1.3.0

Atlassian Confluence Server and Data Center < 7.4.17

Atlassian Confluence Server and Data Center < 7.13.7

Atlassian Confluence Server and Data Center < 7.14.3

Atlassian Confluence Server and Data Center < 7.15.2

Atlassian Confluence Server and Data Center < 7.16.4

Atlassian Confluence Server and Data Center < 7.17.4

Atlassian Confluence Server and Data Center < 7.18.1

 

2. 漏洞分析与复现

团队第一时间进行了漏洞复现。

图1 复现截图

 

漏洞源于应用并未有效验证或过滤用户提交的URL参数，在使用特殊的Java序列号参数作为URL参数时，应用会执行URL中定义的命令并且以特殊设置的返回头，例如X-Cmd-Response 返回命令的执行结果。

 

3.漏洞检测

网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包，支持对该漏洞进行授权扫描，用户升级标准漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000440，升级包下载地址：

https://leadsec.download.venuscloud.cn/

图2 升级后已支持该漏洞

 

请使用网御星云漏洞扫描系统V6.0产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

 

4. 

目前Atlassian官方已发布正式补丁对该漏洞进行修复，请根据自身资产环境考虑升级官方补丁，或采取临时缓解措施有效防护自身资产环境，并阻断利用链条。

4.1 官方升级补丁

官方建议用户升级至最新版本，以保证服务的安全性及稳定性。下载链接：https://www.atlassian.com/software/confluence/download-archives

请升级至以下版本：

Atlassian Confluence Server and Data Center 7.4.17

Atlassian Confluence Server and Data Center 7.13.7

Atlassian Confluence Server and Data Center 7.14.3

Atlassian Confluence Server and Data Center 7.15.2

Atlassian Confluence Server and Data Center 7.16.4

Atlassian Confluence Server and Data Center 7.17.4

Atlassian Confluence Server and Data Center 7.18.1

 

4.2 临时缓解措施

对于 Confluence 7.15.0 - 7.18.0：

如果在集群中运行 Confluence，则需要在每个节点上重复此过程。您不需要关闭整个集群。

1.关闭 Confluence。

2.下载 xwork-1.0.3-atlassian-10.jar 到Confluence服务器。链接：

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

3.将xwork-1.0.3-atlassian-8.jar删除或移出Confluence 安装目录。文件路径：

/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

注意：请用户不要在该目录中留下旧JAR文件的副本。

4.将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径：

/confluence/WEB-INF/lib/

5.检查xwork-1.0.3-atlassian-10.jar文件权限是否与同一目录中的其他文件相同。

6.重启 Confluence。

请记住，如果您在集群中运行 Confluence，请确保在所有节点上运行此脚本。

 

对于Confluence 7.0.0 - Confluence 7.14.2：

如果在集群中运行 Confluence，则需要在每个节点上重复此过程。您不需要关闭整个集群。

1.关闭 Confluence。

2.下载 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三个文件到 Confluence Windows 服务器。链接分别为：

 https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class

3.将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence 安装目录。文件路径分别为：

/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

注意：请用户不要在该目录中留下以上旧JAR文件的副本。

4.将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径：

 /confluence/WEB-INF/lib/

5.将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径：

/confluence/WEB-INF/lib/

6.检查下载的新文件权限是否与同一目录中的其他文件相同。

7.切换到以下目录：

/confluence/WEB-INF/classes/com/atlassian/confluence/setup

（a）在setup目录下创建一个名为webwork的新目录

（b）将

CachedConfigurationProvider.class复制到创建好的webwork目录中。目录路径：

 /confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

（c）检查

CachedConfigurationProvider.class文件权限是否与同一目录中的其他文件相同。

8.重启 Confluence。

请记住，如果您在集群中运行 Confluence，请确保在所有节点上运行此脚本。

参考链接：

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

 

5.ATT&CK攻击链分析与处置建议

 

5.1 ATT&CK攻击链分析

通过对Atlassian onfluence Server和Data Center 中的OGNL 注入漏洞（CVE-2022-26134）利用过程进行分析，其漏洞利用攻击过程为：

 

该漏洞属于未经身份验证的远程代码执行漏洞，远程恶意攻击者在未经身份验证的情况下，可以利用该漏洞通过发送恶意的Web请求注入命令，在目标Atlassian Confluence Server and Data Center服务器上注入恶意OGNL表达式，实现在Confluence Server或Data Center实例上远程执行任意代码，并部署WebShell。

 

通过对漏洞利用攻击过程（攻击链）的分析，攻击链涉及多个ATT&CK战术和技术阶段，覆盖的TTP包括：

初始访问（TA0001）：利用面向公众的应用程序T1190

权限提升（TA0004）：提权利用T1068

持久化（TA0003）：Web Shell T1505.003

 

5.2处置方案建议和SOAR剧本编排

 

 

 

 

 

通过网御星云安全管理和态势感知平台，内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置。

 

北冥数据实验室

北冥数据实验室成立于2022年3月，是致力于网络空间安全知识工程研究和体系化建设的专业团队，由网御星云漏洞研究团队、泰合知识工程团队、大数据实验室（BDlab）场景化分析团队联合组成。

 

北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念，专注于提供网络空间安全的基础知识研究和开发，制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略，构建自动化调查和处置响应措施，形成场景化、结构化的知识工程体系，对各类安全产品、平台和安全运营提供知识赋能。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！