هکرها به طور فعالانه، آسیبپذیری روزصفر جدیدی را در نرمافزار Atlassian Confluence برای نصب web shellها مورد حمله و بهرهبرداری قرار دادهاند که منجر به اجرای کد از راه دور میشود و برای اجرای حمله نیازی به احراز هویت ندارد. این آسیبپذیری با شناسهی CVE-2022-26134، یک نقص بحرانیِ تزریق OGNL است که به کاربر احراز هویت نشده اجازه میدهد کد دلخواه خود را در Confluence Server و Data Center اجرا نماید. Atlassian در خصوص بهرهبرداری فعال این آسیبپذیری توسط مهاجمان هشدار داده است.
این آسیبپذیری محصولات زیر را تحت تأثیر قرار میدهد:
- تمام نسخههای پشتیبانیشدهی Confluence Server و Data Center.
- Confluence Server و Data Center نسخههای بعد از 1.3.0.
آسیبپذیری مذکور در نسخههای زیر برطرف شده است، توصیه میشود کاربران هر چه سریعتر نرمافزارهای آسیبپذیرِ خود را به نسخههای زیر بهروزرسانی کنند.
- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1
نکته: اگر Confluence در کلاستر اجرا میشود، بدون downtime (مدت زمانی که سرویسها از دسترس خارج میشوند) ارتقاء به نسخههای اصلاحشدهی فوق امکانپذیر نیست. راهنمای ارتقاء به نسخههای بهروزرسانیشده در صورت وجود کلاستر در لینک زیر آمده است:
https://confluence.atlassian.com/doc/upgrading-confluence-data-center-1507377.html
اگرچه اکیداً ارتقاء به نسخههای اصلاحشده توصیه میشود، اما چنانچه در حال حاضر امکان ارتقاء به نسخههای بهروزرسانیشده وجود ندارد، میتوان راهکارهای زیر را برای برخی از نسخههای خاص به عنوان یک راهحل موقت در نظر گرفت:
Confluence نسخهی 7.18.0 - 7.15.0:
اگر Confluence در یک کلاستر اجرا میشود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.
1. Confluence را متوقف کنید.
2. فایل زیر را در Confluence server دانلود کنید:
3. فایل JAR را در مسیر زیر حذف کرده و یا به خارج از پوشهی نصب Confluence منتقل کنید:
/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
هشدار: کپی فایل JAR قدیمی را در پوشه نگهداری نکنید.
4. فایل xwork-1.0.3-atlassian-10.jar دانلودشده را در مسیر زیر کپی کنید:
/confluence/WEB-INF/lib/
5. مجوزها و مالکیت فایل xwork-1.0.3-atlassian-10.jar جدید را بررسی کنید که با فایلهای موجود در همان پوشه مطابقت داشته باشد.
6. Confluence را راهاندازی کنید.
Confluence نسخهی 7.14.2 - 7.0.0:
اگر Confluence در یک کلاستر اجرا میشود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.
1. Confluence را متوقف کنید.
2. فایلهای زیر را در Confluence server دانلود کنید:
xwork-1.0.3-atlassian-10.jar
webwork-2.1.5-atlassian-4.jar
CachedConfigurationProvider.class
3. فایلهای JAR را در مسیرهای زیر حذف کرده و یا به خارج از پوشهی نصب Confluence منتقل کنید:
/confluence/WEB-INF/lib/xwork-1.0.3.6.jar /confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
هشدار: کپی فایلهای JAR قدیمی را در پوشه نگهداری نکنید.
4. فایل xwork-1.0.3-atlassian-10.jar دانلودشده را در مسیر زیر کپی کنید:
/confluence/WEB-INF/lib/
5. فایل webwork-2.1.5-atlassian-4.jar دانلودشده را در مسیر زیر کپی کنید:
/confluence/WEB-INF/lib/
6. مجوزها و مالکیت هر دو فایل جدید را بررسی کنید که با فایلهای موجود در همان پوشه مطابقت داشته باشد.
7. به مسیر زیر بروید:
/confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
الف) یک پوشهی جدید به نام webwork ایجاد کنید.
ب) CachedConfigurationProvider.class را در مسیر زیر کپی کنید:
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
ج) از مجوزها و مالکیت موارد زیر اطمینان حاصل کنید:
/confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork /confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
8. Confluence را راهاندازی کنید.
منابع
[1]https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
[2]https://www.bleepingcomputer.com/news/security/critical-atlassian-confluence-zero-day-actively-used-in-attacks/
- 92