Zum Inhalt springen
Einblicke für Analysten: Laden Sie noch heute Ihr Exemplar des Gartner® Hype Cycle™ for Security Operations, 2024 Reports herunter! | Bericht abrufen
Blogs

CVE-2022-26134: Confluenza Omicron Ausgabe

Die Autoren: Mark Ellzey, Ryan Lindner

Aktualisierungen:

  • 06-08-2022: Informationen zum Vergleich hinzugefügt.

Am 2. Juni 2022 gab Atlassian eine neu entdeckte Schwachstelle ( CVE-2022-26134) in dem weit verbreiteten Unternehmens-WIKI-Produkt Confluence bekannt. Auch wenn die Details noch unklar sind, wissen wir, dass es sich um einen nicht authentifizierten Exploit handelt, der zu Remote Code Execution (RCE) führt und potenziell alle Confluence-Versionen bis hin zu den bekannten korrigierten Versionen betrifft. Wir wissen auch, dass der Fehler in der freien Wildbahn ausgenutzt wurde, also einen schönen Freitag!

In ihrem Advisory berichtet Atlassian, dass sie das Problem in den folgenden Versionen der Software behoben haben:

  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

Es ist fast ein Jahr her, dass wir über die letzte große Sicherheitslücke in Confluence berichtet haben. Wir haben die Methoden erörtert, die wir zur Identifizierung von Confluence-Servern im Internet verwendet haben, und haben damals etwa 12.000 potenziell anfällige Dienste gefunden. Heute hat Censys rund 9.325 Dienste auf 8.347 verschiedenen Hosts gefunden, auf denen eine Version von Atlassian Confluence läuft.

Confluence-Schwachstelle CVE-2022-26134

Confluence-Versionen

Von diesen Diensten waren die meisten Confluence-Versionen, die wir identifiziert haben, v7.13.0(1.137 Hosts), v7.13.2(690 Hosts) und v7.13.5(429 Hosts); und wenn der Hinweis korrekt ist, sind alle diese Versionen für diesen neuen Angriff anfällig.

Wie bei der vorherigen Confluence-Schwachstelle konnte Censys diese Server anhand einiger Datenpunkte in der HTTP-Antwort eines laufenden Servers identifizieren:

  • Das Vorhandensein eines X-Confluence-Request-Time-Antwort-Headers.
  • Der Wert des HTML-Meta-Tags: ajs-version-number
 
$ curl -v 'localhost:8090/login.action' 
* Connected to localhost (::1) port 8090 (#0)
> GET /login.action HTTP/1.1
> Host: localhost:8090
> User-Agent: curl/7.74.0
> Accept: */*
> 
< HTTP/1.1 200 
< Cache-Control: no-store
< Expires: Thu, 01 Jan 1970 00:00:00 GMT
< X-Confluence-Request-Time: 1630540011363
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< X-Frame-Options: SAMEORIGIN
< Content-Security-Policy: frame-ancestors 'self'
< X-Accel-Buffering: no
< Content-Type: text/html;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Wed, 01 Sep 2021 23:46:51 GMT
​
.... snip ....
​
<meta name="ajs-use-keyboard-shortcuts" content="true">
<meta name="ajs-discovered-plugin-features" content="$discoveredList">
<meta name="ajs-keyboardshortcut-hash" content="14df3a3aac8b39c774b75ab7150d0558">
<meta name="ajs-team-calendars-display-time-format" content="displayTimeFormat12">
<meta name="ajs-is-confluence-admin" content="false">
<meta name="ajs-connection-timeout" content="10000">
<meta name="ajs-context-path" content="">
<meta name="ajs-base-url" content="http://localhost:8090">
<meta name="ajs-version-number" content="7.13.0">
<meta name="ajs-build-number" content="8703">
<meta name="ajs-remote-user" content="">
<meta name="ajs-remote-user-key" content="">

Benutzer können die folgende Censys Suchanfrage verwenden, um Confluence-Dienste zu finden und zu identifizieren:

same_service(services.http.response.body: <meta name=”ajs-version-number” AND services.http.response.headers.unknown.name: “X-Confluence-Request-Time”)

Optional hat Censys ein interaktives Dashboard zur Analyse von Confluence-Diensten im Internet erstellt. Dieses Dashboard ermöglicht es den Nutzern, nach zahlreichen Feldern zu drehen und zu filtern, einschließlich der aktuell laufenden Version von Confluence, des Landes und des autonomen Systems. Derzeit gibt es zwei Hauptdatenpunkte: detaillierte Informationen über aktuelle Confluence-Einsätze und einen weiteren für historische Trends. Es ist zu beachten, dass diese Daten alle 24 Stunden abgerufen und aggregiert werden.

Mit diesem Tool können Sie die Online-Bemühungen um Patches und Abhilfemaßnahmen für diese spezielle Sicherheitslücke im Laufe der Zeit verfolgen.

 

 

Atlassian Confluence CVE-2022-26134 Dashboard

Heutige Details

 

Atlassian Confluence CVE-2022-26134 Dashboard historische Trends

Historische Trends

Erkunden Sie das Dashboard

Technische Details

CVE-2022-26134 ist eine nicht authentifizierte, entfernte Codeausführungsschwachstelle, die aus einer Object Graph Navigational Language (OGNL)-Injektion resultiert. OGNL-Injektionsangriffe haben an Popularität gewonnen, nachdem Apache Struts im Jahr 2019(CVE-2019-0230) und Confluence im Jahr 2021(CVE-2021-26084) von einem RCE betroffen waren.

Um festzustellen, ob ein Confluence-Server ausnutzbar ist, muss ein Angreifer eine spezielle Nutzlast in den URI einer für den Dienst bestimmten HTTP-Anfrage einfügen. Ein Beispiel für eine solche URL-codierte OGNL-Nutzlast wäre wie folgt:

curl -v http://127.0.0.1:8081/%24%%7B&40java.lang.Runtime%40getRuntime%28%29.exec%28%22whoami%22%29%7D/

Bei erfolgreicher Ausnutzung wird ein `whoami`-Befehl auf dem Confluence-Server mit denselben Berechtigungen wie der Benutzer ausgeführt, der den Dienst ausführt (standardmäßig ist dies der Benutzer "confluence").

Ein Angreifer kann diese Nutzlast weiter verändern, um den Confluence-Server zu zwingen, die Befehlsausgabe in der HTTP-Antwort zu senden. So könnte die OGNL-Payload beispielsweise ein benutzerdefiniertes Response-Header-Feld erstellen und den Befehlswert in diesen Response-Reader einspeisen, so dass ein Angreifer leicht nach anfälligen Servern scannen kann, indem er eine Payload an alle Confluence-Server sendet und die Antwort auf den bösartigen Header analysiert. Ausführlichere Informationen über die Ursache der OGNL-Schwachstelle finden Sie in einem Beitrag von Rapid7 zu dieser Schwachstelle.

 

Vergleich mit CVE-2021-26084

Da diese neue Sicherheitslücke den gleichen Angriffsmustern folgt wie ein Exploit, der letztes Jahr zur gleichen Zeit auftrat, ist dies eine hervorragende Gelegenheit, einen Schritt zurückzutreten und eine vergleichende Analyse durchzuführen.

Als wir im August 2021 erstmals über CVE-2021-26084 berichteten, verzeichneten wir rund 13.787 einzelne Hosts, auf denen eine anfällige Version von Confluence lief. Nur sieben Tage nach der ersten Meldung (31. August 2021) war die Zahl der anfälligen Dienste auf 12.834 gesunken. Von diesen Hosts hatten 727 ein Upgrade auf eine nicht anfällige Version von Confluence durchgeführt, während 997 Dienste komplett aus dem öffentlichen Internet entfernt wurden.

Wenn man die alte Sicherheitslücke mit der neuen vergleicht, ist das ein Unterschied wie Tag und Nacht! Am 2. Juni 2022 gab es 7.540 anfällige Hosts, auf denen Confluence lief. Innerhalb von nur vier Tagen ist diese Zahl auf 5.359 gesunken, wobei 839 Hosts auf eine nicht anfällige Version aktualisiert und 3.229 aus dem öffentlichen Internet genommen wurden.

Da wir die Statistiken Tag für Tag erstellen, sind auch Hosts, die in diesem Zeitraum mit einer anfälligen Version von Confluence online gegangen sind oder die Verbindung wiederhergestellt haben, in dieser Zahl enthalten.

Was kann ich dagegen tun?

  • Censys ASM-Kunden haben Zugriff auf ein neues Risiko, das potenziell gefährdete Confluence-Instanzen identifiziert.
  • Befolgen Sie den in der offiziellen Empfehlung beschriebenen Aktualisierungs- und Abhilfeprozess.

Über den Autor

Mark Ellzey
Senior Security Researcher Alle Beiträge von Mark Ellzey
Mark Ellzey ist ein leitender Sicherheitsforscher bei Censys. Vor seiner jetzigen Tätigkeit war Mark Ellzey über 22 Jahre lang als Netzwerksicherheitsingenieur und Softwareentwickler für verschiedene Internetdienstleister und Finanzinstitute tätig.

Ähnlicher Inhalt

Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren