CVE-2021-26084: Confluenza

Einführung

Confluence ist ein weit verbreiteter Wiki-Dienst, der hauptsächlich in kollaborativen Unternehmensumgebungen eingesetzt wird. Er hat sich in den letzten zehn Jahren zum Standard für die Unternehmensdokumentation entwickelt und wird von der Atlassian Corporation entwickelt und lizenziert. Während die meisten Benutzer den verwalteten Dienst nutzen, entscheiden sich viele Unternehmen für die Bereitstellung der Software vor Ort.

Was ist das Problem?

Am 25. August wurde eine Sicherheitslücke in der Confluence-Software von Atlassian bekannt. Ein Sicherheitsforscher namens SnowyOwl (Benny Jacob) fand heraus, dass ein nicht authentifizierter Benutzer beliebigen Code ausführen kann, indem er auf HTML-Felder zugreift, die von der Object-Graph Navigation Language (OGNL) interpretiert und dargestellt werden. Ja, das ist dieselbe Art von Schwachstelle, die beim Equifax-Sicherheitsverstoß im Jahr 2017 verwendet wurde.

Die gute Nachricht ist, dass es Sicherheitsprüfungen gab, um sicherzustellen, dass Haxoren keinen bösartigen Code ausführen konnten. Die schlechte Nachricht ist, dass diese Überprüfungen Unicode-kodierte Zeichen nicht korrekt entkommen ließen und die statisch definierte Denyliste mit "unerwünschten" Code-Definitionen nicht ausreichte. Mit etwas Fleiß und Zeit war SnowyOwl in der Lage, alle Confluence-Verteidigungsmechanismen zu durchbrechen und uns dieses heiße Durcheinander zu liefern. Danke, SnowyOwl.

Nur wenige Tage bevor diese Schwachstelle bekannt wurde, zeigten unsere historischen Daten, dass das Internet über 14.637 ungeschützte und anfällige Confluence-Server verfügte. Vergleichen Sie das mit dem heutigen 1. September, an dem Censys 14.701 Dienste identifiziert hat, die sich selbst als Confluence-Server identifiziert haben, und von denen 13.596 Ports und 12.876 einzelne IPv4-Hosts eine ausnutzbare Version der Software ausführen.

Censys war in der Lage, diese verwundbaren Confluence-Server anhand einiger Datenpunkte in der HTTP-Antwort eines laufenden Servers zu identifizieren:

• Das Vorhandensein einer X-Confluence-Request-Time Antwort-Header.
• Der Wert des HTML-Meta-Tags: ajs-version-number

Leistung der Locken:

$ curl -v 'localhost:8090/login.action' 
* Connected to localhost (::1) port 8090 (#0)
> GET /login.action HTTP/1.1
> Host: localhost:8090
> User-Agent: curl/7.74.0
> Accept: */*
> 
< HTTP/1.1 200 
< Cache-Control: no-store
< Expires: Thu, 01 Jan 1970 00:00:00 GMT
< X-Confluence-Request-Time: 1630540011363
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< X-Frame-Options: SAMEORIGIN
< Content-Security-Policy: frame-ancestors 'self'
< X-Accel-Buffering: no
< Content-Type: text/html;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Wed, 01 Sep 2021 23:46:51 GMT
​
.... snip ....
​
<meta name="ajs-use-keyboard-shortcuts" content="true">
<meta name="ajs-discovered-plugin-features" content="$discoveredList">
<meta name="ajs-keyboardshortcut-hash" content="14df3a3aac8b39c774b75ab7150d0558">
<meta name="ajs-team-calendars-display-time-format" content="displayTimeFormat12">
<meta name="ajs-is-confluence-admin" content="false">
<meta name="ajs-connection-timeout" content="10000">
<meta name="ajs-context-path" content="">
<meta name="ajs-base-url" content="http://localhost:8090">
<meta name="ajs-version-number" content="7.13.0">
<meta name="ajs-build-number" content="8703">
<meta name="ajs-remote-user" content="">
<meta name="ajs-remote-user-key" content="">

Während sich die Nachricht von dieser Sicherheitslücke verbreitet, hat Censys nur wenig Bewegung bei der Behebung dieser Sicherheitslücke auf globaler Ebene gesehen. Seit dem Bekanntwerden der Schwachstelle haben nur 1.041 Instanzen eine Versionsänderung auf eine nicht anfällige Version erfahren. Nachfolgend finden Sie eine Grafik, die die Anzahl der anfälligen Instanzen nach Datum anzeigt.

Atlassian, die Eigentümer der Confluence-Software, haben auf ihrer Website jede einzelne Version, die für diesen Exploit anfällig ist, ausführlich beschrieben. Nachfolgend finden Sie eine Tabelle, die die Tabelle der anfälligen Versionen von Atlassian um die Anzahl der Dienste ergänzt, die Censys identifiziert hat.

Aktualisierung: 09-03-2021

Diese Sicherheitslücke wird derzeit massenhaft ausgenutzt.

In den letzten Tagen hat Censys eine kleine Verschiebung in der Anzahl der verwundbaren Server festgestellt, die noch im öffentlichen Internet laufen. Am 31. August identifizierte Censys 13.596 verwundbare Confluence-Instanzen, während diese Zahl am 02. September auf 11.689 verwundbare Instanzen gesunken ist .

Aktualisierung: 09-05-2021

In den letzten Tagen hatCensys beobachtet, dass die Anzahl der verwundbaren Confluence-Instanzen von 11.689 auf 8.597 gesunken ist - ein Unterschied von 3.092 seit dem 02. September und insgesamt 5.965 seit der Veröffentlichung der Sicherheitslücke am 25. August.

Aktualisierung: 09-08-2021

Bei der letzten Überprüfung von Censys wurde festgestellt, dass 8.119 anfällige Confluence-Dienste noch laufen - eine Differenz von 478. In der folgenden Tabelle sind die zehn anfälligsten Versionen aufgeführt, die Censys identifizieren konnte.

Version	Zählen Sie
6.15.2	330
7.4.0	286
6.15.4	271
7.4.6	235
7.2.0	194
7.4.8	186
6.15.9	179
6.7.1	174
7.9.3	160
6.15.7	157

Nachfolgend finden Sie eine geografische Übersicht über die (geschätzte) Lage der gefährdeten Confluence-Dienste, die Censys in den letzten 24 Stunden gefunden hat.

Warum ist das wichtig?

Ein Angreifer kann diese Schwachstelle ausnutzen, um einen beliebigen Befehl mit denselben Berechtigungen wie die Benutzerkennung, unter der der Dienst ausgeführt wird, auszuführen. Ein Angreifer kann dann diesen Zugriff nutzen, um erweiterte administrative Rechte zu erlangen, wenn der Host ungepatchte lokale Sicherheitslücken aufweist.

Man kann das nicht auf die leichte Schulter nehmen: Das ist schlimm. Ursprünglich hieß es bei Atlassian, dass diese Schwachstelle nur ausgenutzt werden kann, wenn ein Benutzer ein gültiges Konto auf dem System hat; dies hat sich als falsch herausgestellt, und der Hinweis wurde heute aktualisiert, um die neuen Informationen zu berücksichtigen. Es ist nur eine Frage der Zeit, bis die Lücke aktiv ausgenutzt wird, denn es wurden bereits verstreut funktionierende Exploits gefunden.

Was kann ich dagegen tun?

Da ein Massenausnutzungsereignis im Gange ist, hat Censys beschlossen, eine Suchanfrage zu veröffentlichen, um offene Confluence-Dienste zu finden. Die Leser sollten beachten, dass die Ergebnisse der öffentlichen Suche sowohl gepatchte als auch ungepatchte Dienste enthalten:

• same_service(services.http.response.body: <meta name="ajs-version-number" AND services.http.response.headers.unknown.name: "X-Confluence-Request-Time")

• Censys ASM-Kunden wurden per E-Mail über alle Hosts informiert, die als anfällig identifiziert wurden.
• Befolgen Sie die Anweisungen auf der Webseite von Atlassian zu dieser Sicherheitslücke.
• Upgrade auf Version 7.13.0 (LTS) oder höher.
  • Für 6.13.x-Versionen, die nicht auf 7.13.0 aktualisiert werden können, aktualisieren Sie auf Version 6.13.23
  • Für 7.4.x-Versionen, die nicht auf 7.13.0 aktualisiert werden können, aktualisieren Sie auf Version 7.4.11
  • Für 7.11.x-Versionen, die nicht auf 7.13.0 aktualisiert werden können, aktualisieren Sie auf Version 7.11.6
  • Für 7.12.x-Versionen, die nicht auf 7.13.0 aktualisiert werden können, aktualisieren Sie auf Version 7.12.5
• Wenn Sie nicht auf eine der früheren Versionen aktualisieren können, hat Atlassian ein Skript erstellt, das versucht, das Problem zu entschärfen:
  • Linux-Abschwächungs-Skript
  • Microsoft Windows Skript zur Schadensbegrenzung

Bekannte Sicherheitslücken

• https://www.exploit-db.com/exploits/50243
• https://github.com/alt3kx/CVE-2021-26084_PoC

Referenzen

• CVE-2021-26084 bei NIST
• Atlassian's Beratung
• Ausführlicher Bericht
• Proof of Concept

Bei Fragen wenden Sie sich bitte an press@censys.io.