最后更新于2023年10月6日星期五14:42:46 GMT
2023年10月4日,Atlassian发布了一份 安全咨询 cve - 2023 - 22515, 影响Confluence Server和Confluence Data Center本地实例的严重漏洞. CVE-2023-22515最初被宣布为特权升级漏洞, 但后来被改为访问控制漏洞. Atlassian没有进一步说明漏洞的根本原因,也没有说明漏洞在Confluence实现中的具体位置, 虽然妥协的指标包括提及/setup/*端点.
该公告指出,“Atlassian已经注意到少数客户报告的一个问题,即外部攻击者可能利用公开可访问的Confluence数据中心和服务器实例中的一个以前未知的漏洞,创建未经授权的Confluence管理员帐户并访问Confluence实例.”
当我们最初发表这篇博客时, 我们说这是不寻常的, 虽然不是史无前例的, 使特权升级漏洞具有临界严重性等级. Atlassian的警告暗示该漏洞可以被远程利用, 与权限升级问题相比,绕过身份验证或远程代码执行链通常更符合哪一个问题. 该漏洞可能允许普通用户帐户升级为管理员- Confluence允许新用户注册而无需批准, 但此功能在默认情况下是禁用的.
更新: Rapid7的 研究小组 是否识别并触发了漏洞, 哪一个是完全未经身份验证且容易被利用的. 无论出于何种原因,我们没有观察到与Atlassian相同的异常消息 在他们的FAQ中提到. 根据我们的分析, 除了创建新的admin用户之外,很可能还有其他攻击途径. 值得注意的是,我们的团队利用了 /服务器信息.行动 这是Atlassian在其ioc中没有提到的.
因为CVE-2023-22515已经在用户环境中被利用, Atlassian建议本地Confluence服务器和数据中心客户立即更新到固定版本, 或者实现缓解措施. 该报告指出,“公共互联网上的实例尤其危险, 因为此漏洞可以匿名利用.“折衷指标载于咨询文件,并转载于 缓解指导 下面的部分.
受影响的产品
影响Confluence Server和Data Center的版本如下:
- 8.0.0
- 8.0.1
- 8.0.2
- 8.0.3
- 8.0.4
- 8.1.0
- 8.1.1
- 8.1.3
- 8.1.4
- 8.2.0
- 8.2.1
- 8.2.2
- 8.2.3
- 8.3.0
- 8.3.1
- 8.3.2
- 8.4.0
- 8.4.1
- 8.4.2
- 8.5.0
- 8.5.1
8之前的版本.0.0不受此漏洞影响. Atlassian Cloud站点不受此漏洞影响. 汇流站点访问通过一个 atlassian.net 域由Atlassian托管,不容易受到此问题的影响.
固定的版本:
- 8.3.3岁或以上
- 8.4.3岁或以上
- 8.5.2(长期支持版本)或更高版本
有关更多信息,请参阅 Atlassian咨询 and 发布说明.
缓解指导
内部部署的Confluence Server和Confluence Data Center客户应立即升级到固定版本, 限制外部网络访问易受攻击的系统,直到他们能够这样做. Atlassian的建议称,可以通过阻止对Confluence实例上的/setup/*端点的访问来缓解已知的攻击向量. 关于这样做的说明在 咨询.
Atlassian建议检查所有受影响的Confluence实例是否存在以下入侵指标:
- 一致性管理员组的意外成员
- 意外新建的用户帐户
- 请求/setup/*.上网日志中的动作
- 存在/setup/setupadministrator.在atlassian-confluence-security中异常消息中的操作.登录Confluence主目录
如前所述,Rapid7团队能够识别并触发漏洞. 在这样做的过程中,我们利用了 /服务器信息.行动 这是Atlassian在其ioc中没有提到的.
Rapid7客户
InsightVM和expose客户将能够通过基于远程版本的漏洞检查来评估他们对CVE-2023-22515的暴露,预计将在今天(10月4日)的内容发布中提供.
更新
2023年10月5日: 更新,Rapid7团队已经识别并触发了该漏洞, 哪一个是微不足道的可利用性. 我们的团队利用了 /服务器信息.行动 端点,它已添加到上面的ioc中.
2023年10月6日: 更新到注意Atlassian已经改变了他们的 描述 从“特权升级”到“访问控制中断”的漏洞."
