近日,Atlassian官方发布了一则安全更新,通告了一个严重且已在野利用的远程代码执行漏洞CVE-2022-26134,攻击者利用该漏洞,无需任何条件即可在Confluence中执行任意命令。
该漏洞利用难度极低,影响范围广泛,同时利用方式已经公开,接下来将会有更多在野利用事件发生。悬镜建议企业自查,如使用Confluence,请及时采取安全措施。此外,悬镜云鲨RASP对该漏洞天然免疫防护。
1►
漏洞描述
Atlassian Confluence是Atlassian公司出品的被广泛使用的专业级企业知识管理与协同软件,也可以用于构建企业WiKi,通过它能够实现团队成员之间的协作和知识共享。
CVE-2022-26134漏洞使远程攻击者可在未经身份验证的情况下,通过构造OGNL表达式进行注入,从而实现在Confluence Server或Data Center上执行任意恶意代码并获取服务权限。
2►
影响范围
受影响版本:
Atlassian Confluence Server and Data Center < 7.4.17
7.5.0 ≤ Atlassian Confluence Server and Data Center < 7.13.7
7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3
7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2
7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4
7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4
7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1
3►
解决方案
3.1 官方修复建议
建议用户升级至最新版本,以保证服务的安全性及稳定性。下载链接:
https://www.atlassian.com/software/confluence/download-archives
安全版本:
Confluence Server and Data Center 7.4.17
Confluence Server and Data Center 7.13.7
Confluence Server and Data Center 7.14.3
Confluence Server and Data Center 7.15.2
Confluence Server and Data Center 7.16.4
Confluence Server and Data Center 7.17.4
Confluence Server and Data Center 7.18.1
3.2 临时修复建议
Atlassian Confluence 7.15.0 - 7.18.0的用户,如果在集群内运行Confluence,则需要在每个节点上重复以下过程:
a. 关闭Confluence
b. 下载xwork-1.0.3-atlassian-10.jar到Confluence服务器。链接:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
c. 删除xwork-1.0.3-atlassian-8.jar或者将其移出Confluence安装目录。文件路径:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:不要在目录中留下旧的JAR文件
d. 将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
e. 检查该文件权限是否和所在目录的其他文件权限一致
f. 重启Confluence
Atlassian Confluence 7.0.0 - 7.14.2的用户,如果在集群内运行Confluence,则需要在每个节点上重复以下过程:
a. 关闭Confluence
b. 下载以下三个文件到Confluence服务器。链接:
https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
c. 将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence安装目录。文件路径:
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:不要在目录中留下旧的JAR文件
d. 将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
e. 将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径:
<confluence-install>/confluence/WEB-INF/lib/
f. 检查下载的新文件权限是否和所在目录的其他文件权限一致
g. 切换到以下目录:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
(1) 在setup目录下创建一个名为webwork的新目录
(2) 将CachedConfigurationProvider
.class复制到创建好的webwork目录中。目录路径:
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
(3) 检查CachedConfigurationProvider
.class文件权限是否与同一目录中的其他文件相同
h. 重启Confluence
4►
悬镜产品支持
云鲨RASP自适应威胁免疫平台:无需更新漏洞规则,对该漏洞天然免疫防护。
图1 云鲨RASP成功防御CVE-2022-26134漏洞
云鲨RASP
基于运行时情境感知技术的新一代应用威胁免疫平台
悬镜云鲨RASP自适应威胁免疫平台作为悬镜第三代DevSecOps智适应威胁管理体系中运营环节的持续检测响应平台,通过专利级AI检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法等关键技术,将主动防御能力“注入”到业务应用中,借助强大的应用上下文情景分析能力,可捕捉并防御各种绕过流量检测的攻击方式,提供兼具业务透视和功能解耦的内生主动安全免疫能力,为业务应用出厂默认安全免疫迎来革新发展。
扫描下图二维码免费试用,点击文末“阅读原文”,获取更多产品信息
✦
✦
+
推荐阅读
1. 紧急通告 | Spring框架存在远程命令执行漏洞,悬镜全线产品已实现检测和防御覆盖
2. 悬镜安全子芽:基于威胁的安全测试值得关注,RASP将大放异彩
4. 权威认可 | 悬镜云鲨RASP荣获信通院“2021金融行业年度卓越创新案例”
5. 行业认可 | 悬镜云鲨RASP荣膺网络安全“金帽子”年度优秀云安全产品
关于悬镜安全
悬镜安全,由北京大学网络安全技术研究团队“XMIRROR”于2014年创立。作为业界DevSecOps敏捷安全领导者,悬镜专注于以代码疫苗和积极防御技术为核心的DevSecOps软件供应链持续威胁一体化检测防御,结合多年的敏捷安全落地实践经验和软件供应链安全研究成果,探索出基于原创专利级“敏捷流程平台+关键技术工具链+组件化软件供应链安全服务”的第三代DevSecOps智适应威胁管理体系。该体系主要涵盖从威胁建模、开源治理、风险发现、威胁模拟到检测响应等关键环节的开发运营一体化敏捷安全产品及以实战攻防对抗为特色的软件供应链安全服务,覆盖DevSecOps、软件供应链安全、云原生安全等关键应用场景,作为新一代敏捷安全框架,已成功帮助金融电商、泛互联网、车联网、电信运营商、能源电力等行业上千家企业构筑起一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn
1367
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
