近日,Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞(CVE-2022-26134)的安全公告,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执行任意代码。该漏洞CVSS3.1评分为9.8,目前该漏洞细节与PoC已被公开披露,且被检测到存在在野利用。

Atlassian Confluence是一个专业的企业知识管理与协同软件,主要用于公司内员工创建知识库并建立知识管理流程,也可以用于构建企业wiki,因此该系统被较多知名互联网企业所采用,应用范围较广,因此该漏洞威胁影响范围较大。

受影响版本如下: 

Atlassian Confluence   Server and Data Center >= 1.3.0

Atlassian Confluence Server and Data Center < 7.4.17

Atlassian Confluence Server and Data Center < 7.13.7

Atlassian Confluence Server and Data Center < 7.14.3

Atlassian Confluence Server and Data Center < 7.15.2

Atlassian Confluence Server and Data Center < 7.16.4

Atlassian Confluence Server and Data Center < 7.17.4

Atlassian Confluence Server and Data Center < 7.18.1

Atlassian修复方案:

1、升级最新版本:

官方已发布最新版本,建议用户升级Confluence到官方最新版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1,以保证服务的安全性及稳定性。

下载地址:https://www.atlassian.com/software/confluence/download-archives

2、临时缓解方案:

如无法立即进行升级,可通过下载Atlassian官方jar包替换的方式作为临时缓解措施,Atlassian根据客户的Confluence版本提供了临时解决方法说明。

参考链接:https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

安芯网盾解决方案: 

安芯网盾研究人员复现了该漏洞攻击,验证了安芯网盾内存安全产品内存马模块可以在不做任何升级的情况下实时检测该漏洞攻击。

图 在仅上报模式下复现漏洞利用检测效果图

Atlassian Confluence作为一个被广泛应用的企业知识管理与协同软件,一旦被攻击者事先利用,攻击者可以直接获取企业目标系统权限,危害较大。 虽然,Atlassian迅速提供了软件升级版本及缓解措施等修复方案,但是均需要关闭并重启应用。

安芯网盾内存保护产品不关心特定的表达式注入,通过分析漏洞入侵的各种行为,可以发现和拦截已知的和未知的各种漏洞入侵,包括表达式注入这一系列漏洞,建议用户保持关注或者申请试用安芯网盾内存保护系统。

作者 安芯网盾