Вход
Русский язык
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7
(044) 593-74-75
(067) 460-43-39
(050) 433-68-20
sales@softlist.com.ua
0
(044) 593-74-75
(067) 460-43-39
(050) 433-68-20
sales@softlist.com.ua
Получайте программное обеспечение в течение нескольких минут с момента размещения заказа! Автоматическая система работает круглосуточно 24/7
Критическая уязвимость в Atlassian Confluence Server и Data Center, пути решения

Критическая уязвимость в Atlassian Confluence Server и Data Center, пути решения

15 июня 2022

В июне 2022 года на серверах Confluence и Data Center нашли уязвимость удаленного внедрения кода (RCE) под названием CVE-2022-26134. 

uyazvimosti.jpg

Компания Atlassian опубликовала рекомендацию по безопасности, которая касается уязвимости, работающей в реальных условиях. Злоумышленник может использовать эту уязвимость без авторизации. По оценкам разработчика степень ее серьезности, определяется как критическая.

Большие риски появления CVE-2022-26134 на Confluence Server и Data Center после версии 1.3.0. Исправление предоставлено для версий 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1. Для предприятий, использующих облачный вариант Atlassian, эта уязвимость не страшна.

Как повлияет CVE-2022-26134 на инфраструктуру жертвы?

Как и в случае с любой другой RCE-уязвимостью потенциальный ущерб может быть разрушительным, в том числе полный захват доменов.

Злоумышленники могут использовать эту уязвимость для развертывания любого бэкдора, программы-вымогателя, похитителя информации, RAT. Также они организовывают мероприятия против организаций, использующих эти продукты. Эксплуатация этой уязвимости проста, поскольку субъект угрозы может использовать специально созданный HTTP-запрос, включая код, который он хочет запустить на уязвимом сервере, расположенном в URI.

Уязвимость представляет собой внедрение языка навигации по объектным графам (OGNL). Впервые уязвимость была обнаружена компанией Volexity, этот процесс включал развертывание BEHINDER. Это подключаемый модуль веб-сервера, который позволяет злоумышленнику создавать веб-оболочки и обеспечивает поддержку взаимодействия с Meterperter и Cobalt Strike. С использованием этой уязвимости были зарегистрированы и другие развертывания, такие как China Chopper и крипто-майнеры.

Злоумышленники проявляли активность в сообществах Telegram и Dark web. Они делились POC и репозиториями GitHub, бесплатно предоставляя инструменты другим преступным группам. Эта уязвимость очень похожая на CVE-2021-26084, которая также подвергает риску системы Atlassian.

Atlassian-5.png

Atlassian-6.png

Какие методы предпринять для борьбы с уязвимостью?

Как уже отмечалось, для решения этой проблемы выпущены вариации:

  • 7.4.17;
  • 7.13.7;
  • 7.14.3;
  • 7.15.2;
  • 7.16.4;
  • 7.17.4;
  • 7.18.1.

Atlassian рекомендует выполнить обновление до самой свежей версии, которая имеет продолжительную поддержку. Если нет возможности сразу произвести обновление сервиса Confluence, можете воспользоваться временными мерами. В этом случае подойдет апдейт ниже представленных файлов в соответствии с версией программы.

Confluence 7.15.0 - 7.18.0

При запуске Confluence в кластере, следует повторить эту процедуру на каждом узле. При этом нет необходимости деактивировать весь кластер, чтобы применить это средство защиты. 

Пошаговые действия

  • Закройте приложение Confluence;
  • загрузите файл xwork-1.0.3-atlassian-10.jar на сервер Confluence;
  • извлеките JAR -файл из установочного каталога
    {confluence-install}/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
    Копии прежнего JAR-файла тоже удалите из каталога;
  • продублируйте загруженный файл xwork-1.0.3-atlassian-10.jar в {confluence-install}/confluence/WEB-INF/lib/;
  • проконтролируйте, чтобы информация по файлу xwork-1.0.3-atlassian-10.jar (разрешения, права собственности) совпадали с актуальными файлами в каталоге;
  • откройте Confluence.
Важно: при запуске приложения в кластере используйте указанное выше обновление ко всем узлам.

Confluence 6.0.0 - 7.14.2

При открытии Confluence в кластере, сделайте эту процедуру на каждом узле. Деактивировать кластер нет необходимости, чтобы применить это средство защиты.

Пошаговые действия:

  • закройте Confluence;
  • перенесите файлы на сервер Confluence:
    • xwork-1.0.3-atlassian-10.jar
    • веб-работа-2.1.5-atlassian-4.jar
    • CachedConfigurationProvider.класс;
  • очистите эти JAR-файлы из установочного каталога Confluence):
    {confluence-install}/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
    {confluence-install}/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
    Копии прежних JAR-файлов удалите из каталога;
  • продублируйте загруженный xwork-1.0.3-atlassian-10.jar в {confluence-install}/confluence/WEB-INF/lib/;
  • сделайте копию загруженного файла webwork-2.1.5-atlassian-4.jar в {confluence-install}/confluence/WEB-INF/lib/;
  • разрешения, права на файлы должны соответствовать действующим файлам в каталоге
  • по цепочке {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup, вы перейдете в каталог.
    • Создайте каталог, назовите его webwork
    • Продублируйте CachedConfigurationProvider.class в {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
    • проследите за правильностью указания разрешений, прав:
      • {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
      {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
  • откройте Сonfluence.
Этот вебсайт использует файлы cookies для улучшения сайта и вашего опыта его использования. Используя этот сайт, вы даете согласие на их применение. Если вам нужна дополнительная информация, перейдите по ссылке

✔ Принять Узнать больше...