记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【通告更新】细节及PoC流出,Atlassian Confluence远程代码执行漏洞安全风险通告第二次更新

2021-09-01 16:24

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置 > 用户管理(User Management) > 用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。


目前,奇安信CERT已监测到Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)细节及PoC流出,攻击者可在无需身份认证的情况下远程执行代码。经验证在默认配置下该PoC可用,漏洞现实威胁提升。目前官方已发布修复版本和缓解措施,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。


此次更新新增内容:
新增Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)复现截图

新增产品线解决方案




当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开

已发现



漏洞描述

Atlassian Confluence是一个专业的企业知识管理与协同软件,并支持用于构建企业WiKi。


近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。


目前,奇安信CERT已监测到Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)细节及PoC流出,攻击者可在无需身份认证的情况下远程执行代码。经验证在默认配置下该PoC可用,漏洞现实威胁提升。目前官方已发布修复版本和缓解措施,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。


1、CVE-2021-26084 Atlassian Confluence OGNL注入漏洞

漏洞名称

Atlassian Confluence  OGNL注入漏洞

漏洞类型

远程代码执行

风险等级

高危

漏洞ID

CVE-2021-26084

公开状态

已公开

在野利用

已发现

漏洞描述

Atlassian Confluence  Server and Data Center允许经过身份验证的攻击者(在某些场景下无需身份验证),利用该漏洞在系统上执行任意代码。

参考链接

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html


奇安信CERT已复现Atlassian Confluence OGNL注入漏洞(CVE-2021-26084),复现截图如下:



风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)


影响范围

Atlassian Confluence Server and Data Center version < 6.13.23

6.14.0 ≤ Atlassian Confluence Server and Data Center version < 7.4.11

7.5.0  ≤ Atlassian Confluence Server and Data Center version < 7.11.5

7.12.0 ≤ Atlassian Confluence Server and Data Center version < 7.12.5


其中Atlassian Confluence Cloud不受影响



处置建议

1、升级到以下安全版本:

6.13.23、7.4.11、7.11.6、7.12.5、7.13.0

补丁链接:

https://www.atlassian.com/software/confluence/download-archives


2、缓解措施

如果不能直接升级软件版本则使用如下缓解措施:

Linux系统:

1.关闭Confluence
2.下载
https://confluence.atlassian.com/doc/files/1077906215/1077916296/2/1629936383093/cve-2021-26084-update.sh脚本
3.编辑该脚本中的INSTALLATION_DIRECTORY使其指向Confluence安装目录并保存文件
4.使用命令chmod 700 cve-2021-26084-update.sh给脚本执行权限
5.更改Confluence安装目录的拥有者和组,示例如下

$ ls -l /opt/atlassian/confluence | grep bindrwxr-xr-x 3 root root 4096 Aug 18 17:07 bin # In this first example, we change to the 'root' user # to run the workaround script  $ sudo su root$ ls -l /opt/atlassian/confluence | grep bindrwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin

# In this second example, we need to change to the 'confluence' user # to run the workaround script

$ sudo su confluence
6.执行脚本
./cve-2021-26084-update.sh


Windows系统:

1. 关闭Confluence
2. 下载脚本
https://confluence.atlassian.com/doc/files/1077906215/1077916298/2/1629936382985/cve-2021-26084-update.ps1
3. 编辑该脚本设置INSTALLATION_DIRECTORY指向Confluence的安装目录并保存脚本
4. 使用管理员权限打开powershell
5. 使用以下命令执行脚本
Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile –


注:如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本来缓解此漏洞。



产品解决方案

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于9月2日发布入侵防御规则库2021.09.02版本,支持对Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于9月2日发布入侵防御规则库10408版本,支持对Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084)的防护。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6838,建议用户尽快升级检测规则库至2109011100以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0901.13016上版本。规则名称:Atlassian Confluence 远程代码执行漏洞(CVE-2021-26084),规则ID:0x10020DE2。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2109011200” 及以上版本并启用规则ID: 1249301进行检测。



参考资料

[1]https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html


时间线

2021年8月26日,奇安信 CERT发布安全风险通告

2021年9月1日,奇安信CERT发布安全风险通告第二次更新


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓



知识来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247494648&idx=1&sn=5080134a0e3d422791c6f6eefba7aa67

阅读:30040 | 评论:0 | 标签:漏洞 远程 执行 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“【通告更新】细节及PoC流出,Atlassian Confluence远程代码执行漏洞安全风险通告第二次更新”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云

本页关键词