Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Критична вразливість в Atlassian Confluence Server та Data Center, шляхи вирішення

Критична вразливість в Atlassian Confluence Server та Data Center, шляхи вирішення

У червні 2022 року на серверах Confluence та Data Center знайшли вразливість віддаленого створення коду (RCE) під назвою CVE-2022-26134. 

uyazvimosti.jpg

Компанія Atlassian опублікувала рекомендацію щодо безпеки, що стосується вразливості, що працює в реальних умовах. Зловмисник може використовувати цю вразливість без авторизації. За оцінками розробника рівень її серйозності, визначається як критична.

Великі ризики появи CVE-2022-26134 на Confluence Server та Data Center після версії 1.3.0. Виправлення надано для версій 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1. Для підприємств, що використовують хмарний варіант Atlassian, ця вразливість не страшна.

Як впливатиме CVE-2022-26134 на інфраструктуру жертви?

Як і у випадку з будь-якою іншою RCE-вразливістю потенційні збитки можуть бути руйнівними, у тому числі повне захоплення доменів.

Зловмисники можуть використовувати цю вразливість для розгортання будь-якого бекдору, програми-вимагача, викрадача інформації, RAT. Також вони організовують заходи проти організацій, які використовують ці продукти. Експлуатація цієї вразливості проста, оскільки суб'єкт загрози може використовувати спеціально створений HTTP-запит, включаючи код, який хоче запустити на вразливому сервері, розташованому в URI.

Вразливість являє собою використання мови навігації по об'єктним графам (OGNL). Вперше уразливість була виявлена ​​компанією Volexity, цей процес включав розгортання BEHINDER. Це модуль веб-сервера, який дозволяє зловмиснику створювати веб-оболонки і забезпечує підтримку взаємодії з Meterperter і Cobalt Strike. З використанням цієї вразливості були зареєстровані інші розгортання, такі як China Chopper і крипто-майнери.

Зловмисники виявляли активність у спільнотах Telegram та Dark web. Вони ділилися POC та репозиторіями GitHub, безкоштовно надаючи інструменти іншим злочинним групам. Ця вразливість дуже схожа на CVE-2021-26084, яка також загрожує системам Atlassian.

Atlassian-5.png

Atlassian-6.png

Які методи для боротьби з вразливістю?

Як уже зазначалося, для вирішення цієї проблеми випущено варіації:

  • 7.4.17;
  • 7.13.7;
  • 7.14.3;
  • 7.15.2;
  • 7.16.4;
  • 7.17.4;
  • 7.18.1.

Atlassian рекомендує виконати оновлення до найсвіжішої версії, яка має тривалу підтримку. Якщо немає можливості одразу провести оновлення сервісу Confluence, можете скористатися тимчасовими заходами. У цьому випадку підійде апдейт нижче представлених файлів відповідно до версії програми.

Confluence 7.15.0 - 7.18.0

При запуску Confluence у кластері слід повторити цю процедуру на кожному вузлі. При цьому немає необхідності деактивувати весь кластер, щоб застосувати засіб захисту. 

Покрокові дії

  • закрийте програму Confluence;
  • завантажте файл xwork-1.0.3-atlassian-10.jar на сервер Confluence;
  • видаліть JAR-файл із каталогу установки
    {confluence-install}/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
    Копії старого JAR-файлу також видаліть із каталогу;
  • продублюйте завантажений файл xwork-1.0.3-atlassian-10.jar у {confluence-install}/confluence/WEB-INF/lib/;
  • проконтролюйте, щоб інформація щодо файлу xwork-1.0.3-atlassian-10.jar (дозволи, права власності) співпадала з актуальними файлами в каталозі;
  • Відкрийте Confluence.
Важливо: під час запуску програми в кластері використовуйте вказане вище оновлення для всіх вузлів.

Confluence 6.0.0 - 7.14.2

При відкритті Confluence у кластері зробіть цю процедуру на кожному вузлі. Для застосування цього засобу захисту немає необхідності деактивувати кластер.

Покрокові дії:

  • закрийте Confluence;
  • перенесіть файли на сервер Confluence:
    • xwork-1.0.3-atlassian-10.jar
    • веб-работа-2.1.5-atlassian-4.jar
    • CachedConfigurationProvider.класс;
  • очистіть ці JAR-файли з інсталяційного каталогу Confluence:
    {confluence-install}/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
    {confluence-install}/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
    Копії старих JAR-файлів видаліть із каталогу;
  • продублюйте завантажений xwork-1.0.3-atlassian-10.jar в {confluence-install}/confluence/WEB-INF/lib/;
  • зробіть копію завантаженого файлу webwork-2.1.5-atlassian-4.jar у {confluence-install}/confluence/WEB-INF/lib/;
  • дозволи, права на файли повинні відповідати чинним файлам у каталозі
  • по ланцюжку {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup, ви перейдете до каталогу.
    • Створіть каталог, назвіть його webwork
    • Продублюйте CachedConfigurationProvider.class в {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
    • простежте за правильністю вказівки дозволів, прав:
    • {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
      {confluence-install}/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
  • Відкрийте Сonfluence.