آسیب‌پذیری‌ روزصفر بحرانی در Atlassian Confluence

هکرها به طور فعالانه، آسیب‌پذیری روزصفر جدیدی را در نرم‌افزار Atlassian Confluence برای نصب web shellها مورد حمله و بهره‌برداری قرار داده‌اند که منجر به اجرای کد از راه دور می‌شود و برای اجرای حمله نیازی به احراز هویت ندارد. این آسیب‌پذیری با شناسه‌ی CVE-2022-26134، یک نقص بحرانیِ تزریق OGNL است که به کاربر احراز هویت نشده اجازه می‌دهد کد دلخواه خود را در Confluence Server و Data Center اجرا نماید. Atlassian در خصوص بهره‌برداری فعال این آسیب‌پذیری توسط مهاجمان هشدار داده است.

این آسیب‌پذیری‌ محصولات زیر را تحت تأثیر قرار می‌دهد:

  • تمام نسخه‌های پشتیبانی‌شده‌ی Confluence Server و Data Center.
  • Confluence Server و Data Center نسخه‌های بعد از ۱.۳.۰.

آسیب‌پذیری‌ مذکور در نسخه‌های زیر برطرف شده‌ است، توصیه می‌شود کاربران هر چه سریع‌تر نرم‌افزارهای آسیب‌پذیرِ خود را به نسخه‌های زیر به‌روزرسانی کنند.

  • ۷.۴.۱۷
  • ۷.۱۳.۷
  • ۷.۱۴.۳
  • ۷.۱۵.۲
  • ۷.۱۶.۴
  • ۷.۱۷.۴
  • ۷.۱۸.۱

نکته: اگر Confluence در کلاستر اجرا می‌شود، بدون downtime (مدت زمانی که سرویس‌ها از دسترس خارج می‌شوند) ارتقاء به نسخه‌های اصلاح‌شده‌ی فوق امکان‌پذیر نیست. راهنمای ارتقاء به نسخه‌های به‌روزرسانی‌شده در صورت وجود کلاستر در لینک زیر آمده است:

https://confluence.atlassian.com/doc/upgrading-confluence-data-center-1507377.html

اگرچه اکیداً ارتقاء به نسخه‌های اصلاح‌شده توصیه می‌شود، اما چنانچه در حال حاضر امکان ارتقاء به نسخه‌های به‌روزرسانی‌شده وجود ندارد، می‌توان راهکارهای زیر را برای برخی از نسخه‌های خاص به عنوان یک راه‌حل موقت در نظر گرفت:

Confluence نسخه‌ی ۷.۱۸.۰ - ۷.۱۵.۰:
اگر Confluence در یک کلاستر اجرا می‌شود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.

۱. Confluence را متوقف کنید.

۲. فایل زیر را در Confluence server دانلود کنید:

xwork-1.‎0.‎3-atlassian-10.jar

۳. فایل JAR را در مسیر زیر حذف کرده و یا به خارج از پوشه‌ی نصب Confluence منتقل کنید:

‎/confluence/WEB-INF/lib/xwork-1.‎0.‎3-atlassian-8.jar

هشدار: کپی فایل JAR قدیمی را در پوشه نگه‌داری نکنید.

۴. فایل xwork-1.0.3-atlassian-10.jar دانلودشده را در مسیر زیر کپی کنید:

‎/confluence/WEB-INF/lib/‎

۵. مجوزها و مالکیت فایل xwork-1.0.3-atlassian-10.jar جدید را بررسی کنید که با فایل‌های موجود در همان پوشه مطابقت داشته باشد.

۶. Confluence را راه‌اندازی کنید.

Confluence نسخه‌ی ۷.۱۴.۲ - ۷.۰.۰:

اگر Confluence در یک کلاستر اجرا می‌شود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.

۱. Confluence را متوقف کنید.

۲. فایل‌های زیر را در Confluence server دانلود کنید:

xwork-1.‎0.‎3-atlassian-10.jar
webwork-2.‎1.‎5-atlassian-4.jar
CachedConfigurationProvider.class

۳. فایل‌های JAR را در مسیرهای زیر حذف کرده و یا به خارج از پوشه‌ی نصب Confluence منتقل کنید:

‎/confluence/WEB-INF/lib/xwork-1.‎0.‎3.‎6.jar
/confluence/WEB-INF/lib/webwork-2.‎1.‎5-atlassian-3.jar

هشدار: کپی فایل‌های JAR قدیمی را در پوشه نگه‌داری نکنید.

۴. فایل xwork-1.0.3-atlassian-10.jar دانلودشده را در مسیر زیر کپی کنید:

‎/confluence/WEB-INF/lib/‎

۵. فایل webwork-2.1.5-atlassian-4.jar دانلودشده را در مسیر زیر کپی کنید:

‎/confluence/WEB-INF/lib/‎

۶. مجوزها و مالکیت هر دو فایل جدید را بررسی کنید که با فایل‌های موجود در همان پوشه مطابقت داشته باشد.

۷. به مسیر زیر بروید:

‎/confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

   الف) یک پوشه‌ی جدید به نام webwork ایجاد کنید.
   ب) CachedConfigurationProvider.class را در مسیر زیر کپی کنید:

‎/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

   ج) از مجوزها و مالکیت موارد زیر اطمینان حاصل کنید:

‎/confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

۸. Confluence را راه‌اندازی کنید.

منابع:

[۱]https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
[۲]https://www.bleepingcomputer.com/news/security/critical-atlassian-confluence-zero-day-actively-used-in-attacks/‎