大柚子

这世界不过如此

注:本文仅分享个人漏洞复现及排查,请勿用于非法途径。

概述

Atlassian Confluence Server and Data Center 是澳大利亚Atlassian 公司的一套专业的企业知识管理与协同软件,也可以用于构建企业 WiKi。该软件可实现团队成员之间的协作和知识共享。

2022年6月4日,深信服安全团队监测到一则 Atlassian Confluence Server and Data Center 组件存在远程代码执行漏洞的信息

影响版本

目前受影响的 Atlassian Confluence Server and Data Center 版本:

Atlassian Confluence Server and Data Center < 7.4.17

7.5.0 ≤ Atlassian Confluence Server and Data Center < 7.13.7

7.14.0 ≤ Atlassian Confluence Server and Data Center < 7.14.3

7.15.0 ≤ Atlassian Confluence Server and Data Center < 7.15.2

7.16.0 ≤ Atlassian Confluence Server and Data Center < 7.16.4

7.17.0 ≤ Atlassian Confluence Server and Data Center < 7.17.4

7.18.0 ≤ Atlassian Confluence Server and Data Center < 7.18.1

漏洞复现

网上已经有很多师傅进行复现了,这里参考:

https://github.com/jbaines-r7/through_the_wire

注:上述是针对7.15版本之前的漏洞验证,后面版本因为沙箱的原因,需要进行绕过,可参考师傅文章:

https://mp.weixin.qq.com/s/a-oci5-93Etmqak7uDSGpw

应急排查

自身日志排查

confluence自身存在日志/logs/atlassian-confluence.log,但此日志不记录web访问日志

数据流分析

如果用上述payload进行漏洞利用,首先会发起GET请求,此时服务器会回包302进行跳转

之后发起第二次请求,利用成功

第三方设备排查

如果存在第三方安全设备或web日志记录设备,因为利用方式都在get请求url种,故可以通过遍历关键字”${” 、”/login.action?os_destination=“、”index.action&permissionViolation=true“来进一步排查。

修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://www.atlassian.com/software/confluence/download-archives

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。