-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

0-day (już załatany) na Confluence – uwaga na CVE-2022-26134

03 czerwca 2022, 13:27 | Aktualności, W biegu | komentarzy 9

Aktualizacja: dostępna jest już łatka.

Confluence poinformował o istnieniu aktywnie wykorzystywanego błędu typu 0-day na każdą obecnie wspieraną wersję Confluence. Błąd dotyczy tylko instancji on-prem, bo wersja cloud jest już załatana.

Błąd pozwala na wykonanie dowolnego kodu po stronie serwera bez potrzeby uwierzytelnienia. Został on odkryty przez firmę Volexity, która wykonywała analizę powłamaniową na kilku serwerach – i na tej podstawie wyciągnęła wniosek, że to 0-day musiał być przyczyną.

Co zatem zrobić?

Atlassian na stronie poświęconej tej podatności radzi wykonać jedną z trzech rzeczy:

  • Zablokowanie dostępu do Confluence Server i Confluence Data Center z internetu (ale co z atakami lokalnymi?)
  • Wyłączenie instancji Confluence Server i Confluence Data Center
  • Zablokowanie zapytań zawierających ciąg znaków ${

Szczególnie ten ostatni podpunkt jest interesujący, bo może wskazywać czym jest ta podatność. Przychodzą mi do głowy dwa typy:

  • OGNL Injection – tego typu podatności występowały już w przeszłości w Confluence. Składnia typu ${...} może pozwalać na wykonywanie własnych wyrażeń w Javie.
  • Log4shell – o tej podatności na Sekuraku było już wielokrotnie; w niej payload też zaczyna się od ${.

Co z łatką?

Jeśli nie używasz Confluence w chmurze, to na razie nie ma łatki. Atlassian obiecuje jednak, że łatka pojawi się do końca dnia 3 czerwca czasu PDT – to oznacza 09:00, 4 czerwca czasu polskiego. Trzymamy ich za słowo! Jest już łatka: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

— mb

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. chmiels

    OGNL injectiony były znajdowane w produktach Atlassian nie raz więc pytanie dlaczego nie naprawili root cause

    Odpowiedz
    • Nux

      Pewnie dlatego, że musieliby wywalić cały framework, który maja pod spodem, żeby się pozbyć OGNL. Na szczęście rzeczy tego typu i tak można zwykle wrzucić za VPN, więc nie ma to aż takiego znaczenia.

      Odpowiedz
  2. kjonca

    „At the present time we have confirmed that all supported versions of Confluence Server and Data Center are affected.”

    Dlaczego piszesz, że chodzi (tylko) o najnowszą?

    Odpowiedz
    • Michał Bentkowski

      Słuszna uwaga. Naprawiłem w tekście.

      Odpowiedz
  3. Roland

    Kartka już dostępna ;)

    Odpowiedz
  4. Cezar

    Łatki są już od kilku godzin. Procedury manualne też.

    Odpowiedz
  5. Kajak Krzysztof

    @Autor:
    Dzięki za podbicie tematu.

    Odnośnie poprawki: Atlassian zobowiązał się na swojej stronie do publikacji poprawki w dość krótkim czasie od publikacji na ich stronie.
    No i dowiózł – można pobrać nowe wersje.

    Proponuję rozważyć zatem aktualizację tytułu i samego wpisu.

    Odpowiedz
  6. ciekawski

    Czy OGNL Injection / Log4Shell to nie są poprostu konkretne typy klasy ataków Template Injection?

    Odpowiedz

Odpowiedz