Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
0-day (już załatany) na Confluence – uwaga na CVE-2022-26134
Aktualizacja: dostępna jest już łatka.
Confluence poinformował o istnieniu aktywnie wykorzystywanego błędu typu 0-day na każdą obecnie wspieraną wersję Confluence. Błąd dotyczy tylko instancji on-prem, bo wersja cloud jest już załatana.
Błąd pozwala na wykonanie dowolnego kodu po stronie serwera bez potrzeby uwierzytelnienia. Został on odkryty przez firmę Volexity, która wykonywała analizę powłamaniową na kilku serwerach – i na tej podstawie wyciągnęła wniosek, że to 0-day musiał być przyczyną.
Co zatem zrobić?
Atlassian na stronie poświęconej tej podatności radzi wykonać jedną z trzech rzeczy:
- Zablokowanie dostępu do Confluence Server i Confluence Data Center z internetu (ale co z atakami lokalnymi?)
- Wyłączenie instancji Confluence Server i Confluence Data Center
- Zablokowanie zapytań zawierających ciąg znaków
${
Szczególnie ten ostatni podpunkt jest interesujący, bo może wskazywać czym jest ta podatność. Przychodzą mi do głowy dwa typy:
- OGNL Injection – tego typu podatności występowały już w przeszłości w Confluence. Składnia typu
${...}
może pozwalać na wykonywanie własnych wyrażeń w Javie. - Log4shell – o tej podatności na Sekuraku było już wielokrotnie; w niej payload też zaczyna się od
${
.
Co z łatką?
Jeśli nie używasz Confluence w chmurze, to na razie nie ma łatki. Atlassian obiecuje jednak, że łatka pojawi się do końca dnia 3 czerwca czasu PDT – to oznacza 09:00, 4 czerwca czasu polskiego. Trzymamy ich za słowo! Jest już łatka: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
— mb
OGNL injectiony były znajdowane w produktach Atlassian nie raz więc pytanie dlaczego nie naprawili root cause
Pewnie dlatego, że musieliby wywalić cały framework, który maja pod spodem, żeby się pozbyć OGNL. Na szczęście rzeczy tego typu i tak można zwykle wrzucić za VPN, więc nie ma to aż takiego znaczenia.
„At the present time we have confirmed that all supported versions of Confluence Server and Data Center are affected.”
Dlaczego piszesz, że chodzi (tylko) o najnowszą?
Słuszna uwaga. Naprawiłem w tekście.
Kartka już dostępna ;)
Łatki są już od kilku godzin. Procedury manualne też.
@Autor:
Dzięki za podbicie tematu.
Odnośnie poprawki: Atlassian zobowiązał się na swojej stronie do publikacji poprawki w dość krótkim czasie od publikacji na ich stronie.
No i dowiózł – można pobrać nowe wersje.
Proponuję rozważyć zatem aktualizację tytułu i samego wpisu.
Czy OGNL Injection / Log4Shell to nie są poprostu konkretne typy klasy ataków Template Injection?
Są bardzo podobne, ale sama nazwa „template injection” implikuje, że dotyczy silników szablonów, którym OGNL ani log4j nie jest. OGNL to „expression language”, więc bardziej EL Injection:
https://portswigger.net/kb/issues/00100f20_expression-language-injection