Уязвимость в Atlassian Confluence Server и Data Center позволяет злоумышленникам удаленно выполнять команды на сервере

Поступают сообщения о массовых атаках на Confluence Server с использованием уязвимости CVE-2022-26134, которая используется хакерами для установки веб-оболочек (например, Behinder).

Согласно бюллетеню Atlassian проблема — не требующуя аутентификации уязвимость RCE в Confluence Server и Data Center.

Подверженными к атакам можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости. Максимальное число вторжений сейчас фиксируется на версию 7.18.0.

Компания признала уровень уязвимости критическим. Информация о ней была получена разработчиками еще 31 мая.

В ходе атаки злоумышленники устанавливают свою веб-оболочку Java Server Pages, которая позволяет им выполнять произвольный код на сервере, загружать webshell, а затем получать полный доступ к атакуемому ресурсу.

На данный момент Atlassian выпустила обновления 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1, которые решают проблему.

Если обновление по тем или иным причинам установить нельзя, компания предлагает временный обходной вариант:

Если система кластерная — выполнять инструкции нужно на каждом сервере в кластере!

Для версий Confluence 7.15.0 — 7.18.0:

1. Остановить Confluence

2. Загрузить файл: xwork-1.0.3-atlassian-10.jar

3. Удалить или переместить в другой каталог файл <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

4. Скопировать файл xwork-1.0.3-atlassian-10.jar в каталог <confluence-install>/confluence/WEB-INF/lib/

5. Проверить разрешения и владельца на него

6. Запустить Confluence

Для версий Confluence 7.0.0 — Confluence 7.14.2:

1. Остановить Confluence

2. Загрузить следующие три файла: xwork-1.0.3-atlassian-10.jar, webwork-2.1.5-atlassian-4.jar, CachedConfigurationProvider.class

3. Удалить или переместить в другой каталог файлы<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar и <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

4. Скопировать файл xwork-1.0.3-atlassian-10.jar в каталог <confluence-install>/confluence/WEB-INF/lib/

5. Скопировать файл webwork-2.1.5-atlassian-4.jar into <confluence-install>/confluence/WEB-INF/lib/

6. Проверить разрешения и владельца этих новых файлов и убедиться, что они совпадают в разрешениями на другие файлы в этой папке

7. Перейти в папку <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

8. Создать в ней папку webwork

9. Скопировать в нее файл CachedConfigurationProvider.class

10. Проверить разрешения и владельца на файлы /confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork и /confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

11. Запустить Confluence