CVE-2021-26084 : Confluenza

Introduction

Confluence est un service Wiki largement déployé et utilisé principalement dans les environnements collaboratifs des entreprises. Il est devenu la norme de facto pour la documentation d'entreprise au cours de la dernière décennie et est développé et licencié par Atlassian Corporation. Bien que la majorité des utilisateurs utilisent le service géré, de nombreuses entreprises choisissent de déployer le logiciel sur site.

Quel est le problème ?

Le 25 août, une vulnérabilité dans le logiciel Confluence d'Atlassian a été rendue publique. Un chercheur en sécurité nommé SnowyOwl (Benny Jacob) a découvert qu'un utilisateur non authentifié pouvait exécuter du code arbitraire en ciblant les champs HTML interprétés et rendus par l'Object-Graph Navigation Language (OGNL). Oui, il s'agit de la même catégorie de vulnérabilité que celle utilisée lors de la violation d'Equifax en 2017.

La bonne nouvelle, c'est qu'il y avait des contrôles d'intégrité en place pour s'assurer que les pirates ne pouvaient pas exécuter de code malveillant. La mauvaise nouvelle est que ces contrôles n'échappaient pas correctement aux caractères encodés en Unicode, et que la liste statique des définitions de codes "indésirables" n'était pas suffisante. Avec un peu d'huile de coude et de temps, SnowyOwl a réussi à percer toutes les défenses de Confluence et à nous offrir ce désastre. Merci, SnowyOwl.

Quelques jours avant que cette vulnérabilité ne soit rendue publique, nos données historiques montraient que l'Internet comptait plus de 14 637 serveurs Confluence exposés et vulnérables. Comparez cela à la journée du 1er septembre, où Censys a identifié 14 701 services qui se sont identifiés comme étant des serveurs Confluence, et parmi eux, 13 596 ports et 12 876 hôtes IPv4 individuels exécutent une version exploitable du logiciel.

Censys a pu identifier ces serveurs Confluence vulnérables à l'aide de quelques points de données trouvés dans la réponse HTTP d'un serveur en cours d'exécution :

• L'existence d'un X-Confluence-Request-Time l'en-tête de la réponse.
• La valeur de la métabalise HTML : ajs-version-number

Sortie de boucles :

$ curl -v 'localhost:8090/login.action' 
* Connected to localhost (::1) port 8090 (#0)
> GET /login.action HTTP/1.1
> Host: localhost:8090
> User-Agent: curl/7.74.0
> Accept: */*
> 
< HTTP/1.1 200 
< Cache-Control: no-store
< Expires: Thu, 01 Jan 1970 00:00:00 GMT
< X-Confluence-Request-Time: 1630540011363
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< X-Frame-Options: SAMEORIGIN
< Content-Security-Policy: frame-ancestors 'self'
< X-Accel-Buffering: no
< Content-Type: text/html;charset=UTF-8
< Transfer-Encoding: chunked
< Date: Wed, 01 Sep 2021 23:46:51 GMT
​
.... snip ....
​
<meta name="ajs-use-keyboard-shortcuts" content="true">
<meta name="ajs-discovered-plugin-features" content="$discoveredList">
<meta name="ajs-keyboardshortcut-hash" content="14df3a3aac8b39c774b75ab7150d0558">
<meta name="ajs-team-calendars-display-time-format" content="displayTimeFormat12">
<meta name="ajs-is-confluence-admin" content="false">
<meta name="ajs-connection-timeout" content="10000">
<meta name="ajs-context-path" content="">
<meta name="ajs-base-url" content="http://localhost:8090">
<meta name="ajs-version-number" content="7.13.0">
<meta name="ajs-build-number" content="8703">
<meta name="ajs-remote-user" content="">
<meta name="ajs-remote-user-key" content="">

Alors que la nouvelle de cette vulnérabilité se répand, Censys a vu peu de progrès dans la correction de cette vulnérabilité à l'échelle mondiale. Depuis la publication de l'exposition, seules 1 041 instances ont été modifiées pour passer à une version non vulnérable. Le graphique ci-dessous présente le nombre d'instances vulnérables par date.

Atlassian, le propriétaire du logiciel Confluence, a fait un excellent travail en détaillant chaque version spécifique vulnérable à cet exploit sur son site web. Le tableau ci-dessous complète le tableau des versions vulnérables d'Atlassian par un décompte des services identifiés par Censys .

Mise à jour : 09-03-2021

L'exploitation massive de cette vulnérabilité est actuellement en cours.

Au cours des derniers jours, Censys a constaté un léger changement dans le nombre de serveurs vulnérables fonctionnant encore sur l'internet public. Le 31 août, Censys a identifié 13 596 instances vulnérables de Confluence, tandis que le 2 septembre, ce nombre est tombé à 11 689 instances vulnérables.

Mise à jour : 09-05-2021

Au cours des derniers jours, Censys a observé que le nombre d'instances Confluence vulnérables est passé de 11 689 à 8 597, soit une différence de 3 092 depuis le 2 septembre, et un total de 5 965 depuis que la vulnérabilité a été rendue publique le 25 août.

Mise à jour : 09-08-2021

Le dernier balayage effectué par Censys a révélé que 8 119 services Confluence vulnérables sont toujours en cours d'exécution, soit une différence de 478. Le tableau suivant présente les dix versions les plus vulnérables que Censys a pu identifier.

Version	Compter
6.15.2	330
7.4.0	286
6.15.4	271
7.4.6	235
7.2.0	194
7.4.8	186
6.15.9	179
6.7.1	174
7.9.3	160
6.15.7	157

Vous trouverez ci-dessous une carte géographique montrant l'emplacement (estimé) des services vulnérables de Confluence que Censys a trouvés au cours des dernières 24 heures.

Pourquoi est-ce important ?

Un attaquant peut tirer parti de cette vulnérabilité pour exécuter n'importe quelle commande avec les mêmes autorisations que l'identifiant de l'utilisateur qui exécute le service. Un attaquant peut alors utiliser cet accès pour obtenir des autorisations administratives élevées si l'hôte a des vulnérabilités locales non corrigées.

Il n'y a pas d'autre façon de le dire : c'est grave. Initialement, Atlassian avait déclaré que cette faille n'était exploitable que si un utilisateur disposait d'un compte valide sur le système ; cette affirmation s'est avérée incorrecte et l'avis a été mis à jour aujourd'hui pour refléter les nouvelles informations. Ce n'est qu'une question de temps avant que nous ne commencions à voir des exploitations actives dans la nature, car des exploits fonctionnels ont déjà été trouvés un peu partout.

Que dois-je faire ?

Comme un événement d'exploitation massive est en cours, Censys a décidé de publier une requête de recherche pour trouver des services Confluence ouverts. Les lecteurs doivent noter que les résultats renvoyés par la recherche publique incluront à la fois des services patchés et non patchés :

• same_service(services.http.response.body : <meta name="ajs-version-number" AND services.http.response.headers.unknown.name : "X-Confluence-Request-Time")

• Censys Les clients d'ASM ont été informés par courrier électronique des hôtes identifiés comme vulnérables.
• Suivez les instructions de la page web d'Atlassian concernant cette vulnérabilité.
• Mise à jour vers la version 7.13.0 (LTS) ou supérieure.
  • Pour les versions 6.13.x qui ne peuvent pas être mises à jour vers 7.13.0, mettez à jour vers la version 6.13.23.
  • Pour les versions 7.4.x qui ne peuvent pas être mises à jour vers la version 7.13.0, mettez à jour vers la version 7.4.11.
  • Pour les versions 7.11.x qui ne peuvent pas être mises à jour vers 7.13.0, passez à la version 7.11.6.
  • Pour les versions 7.12.x qui ne peuvent pas être mises à jour vers 7.13.0, passez à la version 7.12.5.
• Si vous n'êtes pas en mesure d'effectuer une mise à niveau vers l'une des versions précédentes, Atlassian a créé un script qui tente d'atténuer le problème :
  • Script d'atténuation Linux
  • Script d'atténuation pour Microsoft Windows

Exploits connus

• https://www.exploit-db.com/exploits/50243
• https://github.com/alt3kx/CVE-2021-26084_PoC

Références

• CVE-2021-26084 au NIST
• Conseil d'Atlassian
• Compte rendu détaillé
• Preuve de concept

N'hésitez pas à envoyer un courriel à press@censys.io pour toute question.