注:本文仅分享个人漏洞复现及排查,请勿用于非法途径。
概述
Atlassian Confluence Server and Data Center 是澳大利亚Atlassian 公司的一套专业的企业知识管理与协同软件,也可以用于构建企业 WiKi。该软件可实现团队成员之间的协作和知识共享。
2022年6月4日,深信服安全团队监测到一则 Atlassian Confluence Server and Data Center 组件存在远程代码执行漏洞的信息
影响版本
目前受影响的 Atlassian Confluence Server and Data Center 版本:
Atlassian Confluence Server and Data Center < 7.4.17
7.5.0 ≤ Atlassian Confluence Server and Data Center < 7.13.7
7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3
7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2
7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4
7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4
7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1
漏洞复现
网上已经有很多师傅进行复现了,这里参考:
https://github.com/jbaines-r7/through_the_wire


注:上述是针对7.15版本之前的漏洞验证,后面版本因为沙箱的原因,需要进行绕过,可参考师傅文章:
https://mp.weixin.qq.com/s/a-oci5-93Etmqak7uDSGpw
应急排查
自身日志排查
confluence自身存在日志/logs/atlassian-confluence.log,但此日志不记录web访问日志
数据流分析
如果用上述payload进行漏洞利用,首先会发起GET请求,此时服务器会回包302进行跳转


之后发起第二次请求,利用成功

第三方设备排查
如果存在第三方安全设备或web日志记录设备,因为利用方式都在get请求url种,故可以通过遍历关键字”${” 、”/login.action?os_destination=“、”index.action&permissionViolation=true“来进一步排查。
修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.atlassian.com/software/confluence/download-archives