CVE-2021-26084: Confluenza

Introducción

Confluence es un servicio Wiki muy extendido que se utiliza principalmente en entornos corporativos de colaboración. Se ha convertido en el estándar de facto para la documentación empresarial en la última década y está desarrollado y licenciado por Atlassian Corporation. Aunque la mayoría de los usuarios utilizan el servicio gestionado, muchas empresas optan por implantar el software in situ.

¿Cuál es el problema?

El 25 de agosto se hizo pública una vulnerabilidad en el software Confluence de Atlassian. Un investigador de seguridad llamado SnowyOwl (Benny Jacob) descubrió que un usuario no autenticado podía ejecutar código arbitrario apuntando a campos HTML interpretados y renderizados por el Object-Graph Navigation Language (OGNL). Sí, es la misma clase de vulnerabilidad utilizada en la brecha de Equifax en 2017.

La buena noticia es que existían comprobaciones de sanidad para asegurar que los haxors no pudieran ejecutar código malicioso. La mala noticia es que esas comprobaciones no escapaban correctamente de los caracteres codificados en Unicode, y la lista de denegación de definiciones de código "no deseadas" definida estáticamente no era suficiente. Con un poco de grasa de codo y tiempo, SnowyOwl fue capaz de romper todas las defensas de Confluence y nos entregó todo este lío caliente. Gracias, SnowyOwl.

Pocos días antes de que se hiciera pública esta vulnerabilidad, nuestros datos históricos mostraban que en Internet había más de 14.637 servidores Confluence expuestos y vulnerables. Compare eso con el día actual, 1 de septiembre, donde Censys identificó 14.701 servicios que se autoidentificaron como un servidor Confluence, y de ellos, 13.596 puertos y 12.876 hosts IPv4 individuales están ejecutando una versión explotable del software.

Censys fue capaz de identificar estos servidores Confluence vulnerables utilizando unos pocos puntos de datos encontrados en la respuesta HTTP de un servidor en ejecución:

• La existencia de un X-Confluence-Request-Time cabecera de respuesta.
• El valor de la metaetiqueta HTML: ajs-version-number

Salida de rizos:

$ curl -v 'localhost:8090/login.action' 
* Connected to localhost (::1) port 8090 (#0)
> GET /login.action HTTP/1.1
> Host: localhost:8090
> User-Agent: curl/7.74.0
> Accept: */*
> 
< HTTP/1.1 200 
< Cache-Control: no-store
< Expires: Thu, 01 Jan 1970 00:00:00 GMT
< X-Confluence-Request-Time: 1630540011363
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< X-Frame-Options: SAMEORIGIN
< Content-Security-Policy: frame-ancestors 'self'
< X-Accel-Buffering: no
< Content-Type: text/html;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Wed, 01 Sep 2021 23:46:51 GMT
​
.... snip ....
​
<meta name="ajs-use-keyboard-shortcuts" content="true">
<meta name="ajs-discovered-plugin-features" content="$discoveredList">
<meta name="ajs-keyboardshortcut-hash" content="14df3a3aac8b39c774b75ab7150d0558">
<meta name="ajs-team-calendars-display-time-format" content="displayTimeFormat12">
<meta name="ajs-is-confluence-admin" content="false">
<meta name="ajs-connection-timeout" content="10000">
<meta name="ajs-context-path" content="">
<meta name="ajs-base-url" content="http://localhost:8090">
<meta name="ajs-version-number" content="7.13.0">
<meta name="ajs-build-number" content="8703">
<meta name="ajs-remote-user" content="">
<meta name="ajs-remote-user-key" content="">

A medida que se difunde la noticia de esta vulnerabilidad, Censys ha visto poco movimiento en la corrección de esta vulnerabilidad a escala global. Desde la divulgación pública de la exposición, sólo 1.041 instancias han visto un cambio de versión a una versión no vulnerable. A continuación se muestra un gráfico con el número de instancias vulnerables por fecha.

Atlassian, los propietarios del software Confluence, han hecho un gran trabajo detallando cada versión específica que es vulnerable a este exploit en su sitio web. A continuación se muestra una tabla que complementa la tabla de versiones vulnerables de Atlassian con un recuento de los servicios que Censys ha identificado.

Actualización: 09-03-2021

Actualmente se está llevando a cabo la explotación masiva de esta vulnerabilidad.

En los últimos días, Censys ha observado un pequeño cambio en el número de servidores vulnerables que siguen funcionando en la Internet pública. El 31 de agosto, Censys identificó 13.596 instancias vulnerables de Confluence, mientras que el 02 de septiembre, ese número se ha reducido a 11.689 instancias vulnerables.

Actualización: 09-05-2021

En los últimos días, Censys ha observado que el número de instancias vulnerables de Confluence ha descendido de 11.689 a 8.597, lo que supone una diferencia de 3.092 desde el 2 de septiembre y un total de 5.965 desde que se hizo pública la vulnerabilidad el 25 de agosto.

Actualización: 09-08-2021

En el último barrido realizado por Censys se descubrió que 8.119 servicios vulnerables de Confluence siguen en funcionamiento, lo que supone una diferencia de 478. La siguiente tabla muestra las diez versiones más vulnerables que Censys pudo identificar.

Versión	Cuenta
6.15.2	330
7.4.0	286
6.15.4	271
7.4.6	235
7.2.0	194
7.4.8	186
6.15.9	179
6.7.1	174
7.9.3	160
6.15.7	157

A continuación se muestra un mapa de calor geográfico que muestra la ubicación (estimada) de los servicios vulnerables de Confluence que Censys ha encontrado en las últimas 24 horas.

¿Qué importancia tiene?

Un atacante puede aprovechar esta vulnerabilidad para ejecutar cualquier comando con los mismos permisos que el ID de usuario que ejecuta el servicio. Un atacante puede entonces utilizar este acceso para obtener permisos administrativos elevados si el host tiene vulnerabilidades locales sin parchear.

No hay manera de decirlo a la ligera: esto es malo. Inicialmente, Atlassian declaró que esto sólo era explotable si un usuario tenía una cuenta válida en el sistema; se descubrió que esto era incorrecto y el aviso se actualizó hoy para reflejar la nueva información. Es sólo cuestión de tiempo antes de que empecemos a ver explotaciones activas en la naturaleza, ya que ya se han encontrado exploits de trabajo dispersos.

¿Qué hago al respecto?

Dado que se está produciendo un evento de explotación masiva, Censys ha decidido publicar una consulta de búsqueda para encontrar servicios abiertos de Confluence. Los lectores deben tener en cuenta que los resultados devueltos por la búsqueda pública incluirán tanto servicios parcheados como no parcheados:

• mismo_servicio(servicios.http.respuesta.cuerpo: <meta name="ajs-version-number" AND services.http.response.headers.unknown.name: "X-Confluence-Request-Time")

• Censys Los clientes de ASM han sido notificados por correo electrónico de los hosts que han sido identificados como vulnerables.
• Siga las instrucciones de la página web de Atlassian sobre esta vulnerabilidad.
• Actualización a la versión 7.13.0 (LTS) o superior.
  • Para las versiones 6.13. x que no puedan actualizarse a 7.13.0, actualice a la versión 6.13.23
  • Para las versiones 7. 4. x que no puedan actualizarse a 7.13.0, actualice a la versión 7.4.11
  • Para las versiones 7. 11. x que no puedan actualizarse a 7.13.0, actualice a la versión 7.11.6
  • Para las versiones 7. 12. x que no puedan actualizarse a 7.13.0, actualice a la versión 7.12.5
• Si no puede actualizar a ninguna de las versiones anteriores, Atlassian ha creado un script que intenta mitigar el problema:
  • Script de mitigación de Linux
  • Script de mitigación de Microsoft Windows

Ataques conocidos

• https://www.exploit-db.com/exploits/50243
• https://github.com/alt3kx/CVE-2021-26084_PoC

Referencias

• CVE-2021-26084 en el NIST
• Asesoramiento de Atlassian
• Resumen detallado
• Prueba de concepto

No dude en enviar un correo electrónico a press@censys.io si tiene alguna pregunta.