کمیته رکن چهارم – هکرها از آسیبپذیری روزصفر جدیدی در نرمافزار Atlassian Confluence برای نصب web shellها بهرهبرداری میکنند.
هکرها به طور فعالانه، آسیبپذیری روزصفر جدیدی را در نرمافزار Atlassian Confluence برای نصب web shellها مورد حمله و بهرهبرداری قرار دادهاند که منجر به اجرای کد از راه دور میشود و برای اجرای حمله نیازی به احراز هویت ندارد. این آسیبپذیری با شناسه CVE-۲۰۲۲-۲۶۱۳۴، یک نقص بحرانیِ تزریق OGNL است که به کاربر احراز هویت نشده اجازه میدهد کد دلخواه خود را در Confluence Server و Data Center اجرا نماید. Atlassian در خصوص بهرهبرداری فعال این آسیبپذیری توسط مهاجمان هشدار داده است.
این آسیبپذیری محصولات زیر را تحت تأثیر قرار میدهند:
- تمام نسخههای پشتیبانیشدهی Confluence Server و Data Center.
- Confluence Server و Data Center نسخههای بعد از ۱.۳.۰.
آسیبپذیری مذکور در نسخههای زیر برطرف شدهاند، توصیه میشود کاربران هر چه سریعتر نرمافزارهای آسیبپذیرِ خود را به نسخههای زیر بهروزرسانی کنند.
- ۷.۴.۱۷
- ۷.۱۳.۷
- ۷.۱۴.۳
- ۷.۱۵.۲
- ۷.۱۶.۴
- ۷.۱۷.۴
- ۷.۱۸.۱
نکته: اگر Confluence در کلاستر اجرا میشود، بدون downtime (مدت زمانی که سرویسها از دسترس خارج میشوند) ارتقا به نسخههای اصلاحشدهی فوق امکانپذیر نیست. راهنمای ارتقاء به نسخههای بهروزرسانیشده در صورت وجود کلاستر در لینک زیر آمده است:
https://confluence.atlassian.com/doc/upgrading-confluence-data-center-۱۵۰۷۳۷۷.html
اگرچه اکیداً ارتقا به نسخههای اصلاحشده توصیه میشود، اما چنانچه در حال حاضر امکان ارتقا به نسخههای بهروزرسانیشده وجود ندارد، میتوان راهکارهای زیر را برای برخی از نسخههای خاص به عنوان یک راهحل موقت در نظر گرفت:
Confluence نسخه ۷.۱۸.۰ – ۷.۱۵.۰
اگر Confluence در یک کلاستر اجرا میشود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.
- Confluence را متوقف کنید.
- فایل زیر را در Confluence server دانلود کنید:
xwork-۱.۰.۳-atlassian-۱۰.jar
- فایل JAR را در مسیر زیر حذف کرده و یا به خارج از پوشهی نصب Confluence منتقل کنید:
/confluence/WEB-INF/lib/xwork-۱.۰.۳-atlassian-۸.jar
هشدار: کپی فایل JAR قدیمی را در پوشه نگهداری نکنید.
- فایل xwork-۱.۰.۳-atlassian-۱۰.jar دانلودشده را در مسیر زیر کپی کنید:
/confluence/WEB-INF/lib/
- مجوزها و مالکیت فایل xwork-۱.۰.۳-atlassian-۱۰.jar جدید را بررسی کنید که با فایلهای موجود در همان پوشه مطابقت داشته باشد.
- Confluence را راهاندازی کنید.
Confluence نسخه ۷.۱۴.۲ – ۷.۰.۰
اگر Confluence در یک کلاستر اجرا میشود، باید این فرآیند در هر نود تکرار شود و برای اعمال آن، نیازی نیست کل کلاستر متوقف شود.
- Confluence را متوقف کنید.
- فایلهای زیر را در Confluence server دانلود کنید:
xwork-۱.۰.۳-atlassian-۱۰.jar
webwork-۲.۱.۵-atlassian-۴.jar
CachedConfigurationProvider.class
- فایلهای JAR را در مسیرهای زیر حذف کرده و یا به خارج از پوشهی نصب Confluence منتقل کنید:
/confluence/WEB-INF/lib/xwork-۱.۰.۳.۶.jar
/confluence/WEB-INF/lib/webwork-۲.۱.۵-atlassian-۳.jar
هشدار: کپی فایلهای JAR قدیمی را در پوشه نگهداری نکنید.
- فایل xwork-۱.۰.۳-atlassian-۱۰.jar دانلودشده را در مسیر زیر کپی کنید:
/confluence/WEB-INF/lib/ - فایل webwork-۲.۱.۵-atlassian-۴.jar دانلودشده را در مسیر زیر کپی کنید:
/confluence/WEB-INF/lib/ - مجوزها و مالکیت هر دو فایل جدید را بررسی کنید که با فایلهای موجود در همان پوشه مطابقت داشته باشد.
- به مسیر زیر بروید:
>confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
الف) یک پوشهجدید به نام webwork ایجاد کنید.
ب) CachedConfigurationProvider.class را در مسیر زیر کپی کنید:
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
ج) از مجوزها و مالکیت موارد زیر اطمینان حاصل کنید:
>confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
۸. Confluence را راهاندازی کنید.
منبع : مرکز ماهر