CVE-2022-26134 분석

CVE 번호 : CVE-2022-26134

 

공격 유형 : 원격 코드 실행(RCE)

 

취약한 버전 : Confluence Server(1.3.0 이상) 및 Data Center의 모든 버전

 

예상 패치 날짜 : 태평양 시간 기준 6월 3일 오전 10시

 

패치 된 버전 : 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 및 7.18.1

 

대응 방안 : WAF(웹 방화벽)를 사용하여 URL에 ${ 가 존재한다면 차단하는 정책 설정 혹은 패치된 버전으로 업그레이드

 

현재까지 공격을 시도한 IP 목록 (차단 대상) : https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicators.csv

 

 

Atlassian 회사가 만든 Confluence 에서 RCE 취약점이 발생했다.

 

해당 취약점은 원격 코드 실행(RCE) 취약점이며 아직까지 탐지된 로그나, 공격 페이로드가 공개된 것이 없어 공격 구현까지 시도는 하지 못했다. 추후 페이로드가 공개 된다면 추가적으로 분석 예정이다.

 

 

2022.06.04 추가 분석

 

해당 공격 페이로드가 공개되어 테스트를 진행했다. 해당 공격은 cve-2021-26084 와 비슷한 OGNL Injection 이라고 한다. 

 

먼저 fix 되지 않은 버전으로 해당 공격을 진행한 화면이다. (Confluence 7.13.6 버전)

명령어 whoami 를 입력한 response 값

페이로드를 이용하여 공격 진행 시 X-Cmd-Response 헤더가 생성이 되고, 그 헤더 값에 RCE 실행 결과를 출력한다.

 

명령어 pwd 를 입력한 response 값

 

 

atlassian 측에서 공개한 픽스된 버전 리스트중 7.13.7 에 대한 공격 시도 화면이다.

 

Confluence 7.13.7 버전

7.13.6과 달리 7.13.7 에선 X-Cmd-Response 헤더가 없는 것을 확인할 수 있다.

 

 

 

 

자세한 분석 자료

https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/

 

 

참고

https://blog.alyac.co.kr/4772

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

https://www.pwndefend.com/2022/06/03/cve-2022-26134-confluence-zero-day-rce/

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://adwareinfo.com/index.php/2022/06/03/zero-day-exploitation-of-atlassian-confluence/security-tech-world-news-blog/admin/?doing_wp_cron=1654279450.0065948963165283203125 

https://www.tarlogic.com/blog/cve-2022-26134-zero-day-vulnerability-affecting-atlassian-confluence/