【漏洞预警】CVE-2022-26134 Confluence 远程代码执行漏洞POC验证与修复过程
一、漏洞详情
Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
2022年6月3日,Atlassian官方发布官方公告,披露存在CVE-2022-26134 Confluence 远程代码执行漏洞在野攻击漏洞事件。漏洞利用无需身份认证,可直接前台远程执行任意代码。
漏洞详情:
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。
目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。
二、漏洞检测
1、人工检测
用户可通过查看当前Confluence版本是否在受影响范围内,对当前服务是否受此漏洞影响进行排查。
点击图片,选择“关于Confluence”,即可对当前版本进行查看。
2、POC检测
如下图所示,POC脚本进行攻击测试
可以看出可以进行任意代码执行,直接拿到服务器Shell后台权限
三、漏洞防护措施
3.1 官方升级至安全版本
官方建议用户升级至最新版本,以保证服务的安全性及稳定性。
下载链接:https://www.atlassian.com/software/confluence/download-archives
3.2、临时防护措施
对于 Confluence 7.15.0 - 7.18.0:aaa
对于Confluence 7.0.0 - Confluence 7.14.2:
免责声明:本文上述漏洞信息内容收集于互联网,如果有不妥之处,敬请谅解。如有侵权内容,请联系本文作者进行删除。
四、漏洞修复过程实践
下面以7.4.1版本为例,使用临时防护措施进行修复
先下载如下三个文件并上传到confluence服务器
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
修复过程
[root@centos ~]# cd /opt/CVE-2022-26134_repair/ [root@centos CVE-2022-26134_repair]# ll total 524 -rw-r--r--. 1 root root 7186 Jun 5 10:55 CachedConfigurationProvider.class -rw-r--r--. 1 root root 352630 Oct 14 2021 webwork-2.1.5-atlassian-4.jar -rw-r--r--. 1 root root 170369 Jun 2 16:39 xwork-1.0.3-atlassian-10.jar [root@centos CVE-2022-26134_repair]# [root@centos CVE-2022-26134_repair]# [root@centos CVE-2022-26134_repair]# [root@centos CVE-2022-26134_repair]# cd /opt/atlassian/confluence/ [root@centos confluence]# ll total 1340 -rw-r--r--. 1 root root 975517 Jun 5 10:33 atlassian-agent.jar drwxr-xr-x. 3 root root 4096 Jun 5 10:35 bin -rw-r--r--. 1 root root 19540 Jun 11 2020 BUILDING.txt drwxr-xr-x. 3 root root 4096 Jun 5 10:31 conf drwxr-xr-x. 27 root root 4096 Jun 5 10:31 confluence -rw-r--r--. 1 root root 5545 Jun 11 2020 CONTRIBUTING.md -rw-r--r--. 1 root root 128417 Jun 5 10:31 install.reg drwxr-xr-x. 7 root root 4096 Jun 5 10:31 jre drwxr-xr-x. 2 root root 4096 Jun 5 10:31 lib -rw-r--r--. 1 root root 58153 Jun 11 2020 LICENSE drwxr-xr-x. 2 root root 69632 Jun 5 10:31 licenses drwx------. 2 confluence root 4096 Jun 5 10:35 logs -rw-r--r--. 1 root root 2401 Jun 11 2020 NOTICE -rw-r--r--. 1 root root 2291 Jun 11 2020 README.html -rw-r--r--. 1 root root 3334 Jun 11 2020 README.md -rw-r--r--. 1 root root 1202 Jun 11 2020 README.txt -rw-r--r--. 1 root root 7072 Jun 11 2020 RELEASE-NOTES -rw-r--r--. 1 root root 16738 Jun 11 2020 RUNNING.txt drwxr-xr-x. 4 root root 4096 Jun 5 10:31 synchrony-proxy drwx------. 3 confluence root 4096 Jun 5 10:39 temp -rwx------. 1 root root 13586 Jun 11 2020 uninstall drwxr-xr-x. 2 root root 4096 Jun 11 2020 webapps drwx------. 3 confluence root 4096 Jun 5 10:35 work [root@centos confluence]# cd confluence/WEB-INF/lib/ [root@centos lib]# mkdir /opt/old_backup [root@centos lib]# mv xwork-1.0.3.6.jar /opt/old_backup/ [root@centos lib]# mv webwork-2.1.5-atlassian-3.jar /opt/old_backup/ [root@centos lib]# cp /opt/CVE-2022-26134_repair/xwork-1.0.3-atlassian-10.jar /opt/atlassian/confluence/confluence/WEB-INF/lib/ [root@centos lib]# cp /opt/CVE-2022-26134_repair/webwork-2.1.5-atlassian-4.jar /opt/atlassian/confluence/confluence/WEB-INF/lib/ [root@centos lib]# [root@centos lib]# cd /opt/atlassian/confluence/confluence/WEB-INF/classes/com/atlassian/confluence/setup/ [root@centos setup]# ll total 732 -rw-r--r--. 1 root root 280 Jun 11 2020 atlassian-bundled-plugins.zip -rw-r--r--. 1 root root 737335 Jun 11 2020 demo-site.zip -rw-r--r--. 1 root root 15 Jun 11 2020 hsqldb-server.acl [root@centos setup]# mkdir webwork [root@centos setup]# cd webwork/ [root@centos webwork]# cp /opt/CVE-2022-26134_repair/CachedConfigurationProvider.class ./ [root@centos webwork]#
重启confluence服务
/opt/atlassian/confluence/bin/stop-confluence.sh /opt/atlassian/confluence/bin/start-confluence.sh
POC验证可以看到已经无法进行代码漏洞执行,漏洞修复成功