Atlassian Confluence 远程代码执行漏洞(CVE-2022-2
漏洞概述
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,可以用于企业团队共享信息、文档协作、集体讨论,信息推送。
2022年6月3日,知道创宇404实验室通过创宇安全智脑监测到Atlassian Confluence官方发布公告称Confluence Server 和Data Center存在未授权远程代码执行漏洞,该漏洞由于Confluence将URL翻译成namespace,导致攻击者可以在URL路径中构造OGNL表达式,造成表达式注入,从而远程代码执行。该漏洞被分配编号:CVE-2022-26134。
漏洞等级
CVSS3:10.0 (严重)
影响版本
Confluence Server and Data Center >= 1.3.0
Confluence Server and Data Center < 7.4.17
Confluence Server and Data Center < 7.13.7
Confluence Server and Data Center < 7.14.3
Confluence Server and Data Center < 7.15.2
Confluence Server and Data Center < 7.16.4
Confluence Server and Data Center < 7.17.4
Confluence Server and Data Center < 7.18.1
漏洞状态
已发现在野利用,PoC已公开。
漏洞复现
漏洞攻击趋势
根据创宇安全智脑分析统计(时间范围:2022-06-04 00:00 - 2022-06-04 20:00),该漏洞自2022年6月4日凌晨1点官方释放补丁包之后,最早于凌晨4点便有少量攻击者开始利用该漏洞,至下午16点形成日内攻击顶峰,攻击量呈稳步上升之势。
近24小时数据显示,攻击主要来自于美国和越南地区。24小时 TOP10数据如下:
检查修复建议
1、更新至修复版本,具体版本如下:
7.4.17
7.13.7
7.14.3
7.15.2
7.16.4
7.17.4
7.18.1
2、如无法立即升级版本,可按照官方解决方案下载补丁包替换受影响的文件,参考链接:https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html。
3、创宇盾(https://c.yunaq.com/products/cyd/)用户无需升级,该漏洞默认可拦截。
时间线
2022年6月3日 04:00,Atlassian发布安全公告Confluence存在未授权远程代码执行漏洞(CVE-2022-21634);
2022年6月3日09:15,知道创宇404积极防御实验室应急分析漏洞,确认云防御产品创宇盾(https://c.yunaq.com/products/cyd/)默认可拦截该漏洞;
2022年6月3日 09:25,知道创宇NDR流量监测系统完成相关检测规则更新,支持该漏洞检测;
2022年6月3日 21:55,知道创宇云监测产品ScanV(https://www.scanv.com/)更新插件,支持该漏洞检测;
2022年6月4日 01:00,Atlassian更新安全公告发布安全版本及补丁信息。