atlassian上周发布安全公告,修补协同软件confluence一个已有人试图利用或攻击的远程程序代码执行(rce)漏洞。
这个编号cve-2022-26134的漏洞为一ognl(object-graph navigation language)注入漏洞,影响confluence server及confluence data center,可让未经授权用户在这两平台的执行实例中执行程序代码。所有版本的confluence server及data center都受影响。
最先通报该漏洞的安全厂商volexity指出,这项漏洞可让攻击者对confluence系统发出web调用,让没有凭证的攻击者可接管整台confluence服务器并执行程序代码。volexity研究人员发现的攻击案例中,攻击者成功访问confluence server后,已经植入china chopper webshell。
atlassian已经发布包含修补程序的更新版7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4和7.18.1。由于atlassian cloud已经安装修补程序,使用的是通过atlassian.net域名访问托管confluence服务的用户则无需担心。
但使用本地部署版的用户应尽快修补,因为网络上已有大量开采该漏洞的活动。安全厂商greynoise侦测到网络上已有锁定atlassian漏洞的ip网址,而且一天内由2位数增长将近10倍到211个。
无法更新软件的用户,atlassian则提供缓解指示。针对较新的7.15.0 – 7.18.0版,做法为关闭confluence、移除