일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- CVE
- 해킹캠프
- WarGame
- backdoorctf 2023
- XSS
- RCE
- writeup
- hacking
- 해킹캠프 ctf
- Web Hacking
- 웹 해킹
- Hacker.org
- hackingcamp
- backdoorctf writeup
- 해외 wargame
- php
- wargame.kr
- XSS-game
- thinkPHP
- WEB-hacking
- CTF
- 해외 워게임
- backdoorctf 2023 web
- backdoorctf 2023 web Unintelligible
- webhacking
- hackingcamp ctf writeup
- cve 분석
- Web
- hackctf
- 웹해킹
- Today
- Total
<OOO>
CVE-2022-26134 분석 본문
CVE 번호 : CVE-2022-26134
공격 유형 : 원격 코드 실행(RCE)
취약한 버전 : Confluence Server(1.3.0 이상) 및 Data Center의 모든 버전
예상 패치 날짜 : 태평양 시간 기준 6월 3일 오전 10시
패치 된 버전 : 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 및 7.18.1
대응 방안 : WAF(웹 방화벽)를 사용하여 URL에 ${ 가 존재한다면 차단하는 정책 설정 혹은 패치된 버전으로 업그레이드
현재까지 공격을 시도한 IP 목록 (차단 대상) : https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of%20Confluence%200-day/indicators/indicators.csv
Atlassian 회사가 만든 Confluence 에서 RCE 취약점이 발생했다.
해당 취약점은 원격 코드 실행(RCE) 취약점이며 아직까지 탐지된 로그나, 공격 페이로드가 공개된 것이 없어 공격 구현까지 시도는 하지 못했다. 추후 페이로드가 공개 된다면 추가적으로 분석 예정이다.
2022.06.04 추가 분석
해당 공격 페이로드가 공개되어 테스트를 진행했다. 해당 공격은 cve-2021-26084 와 비슷한 OGNL Injection 이라고 한다.
먼저 fix 되지 않은 버전으로 해당 공격을 진행한 화면이다. (Confluence 7.13.6 버전)
페이로드를 이용하여 공격 진행 시 X-Cmd-Response 헤더가 생성이 되고, 그 헤더 값에 RCE 실행 결과를 출력한다.
atlassian 측에서 공개한 픽스된 버전 리스트중 7.13.7 에 대한 공격 시도 화면이다.
7.13.6과 달리 7.13.7 에선 X-Cmd-Response 헤더가 없는 것을 확인할 수 있다.
자세한 분석 자료
https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-cve-2022-26134/
참고
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
https://www.pwndefend.com/2022/06/03/cve-2022-26134-confluence-zero-day-rce/
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
https://www.tarlogic.com/blog/cve-2022-26134-zero-day-vulnerability-affecting-atlassian-confluence/
'CVE 분석' 카테고리의 다른 글
CVE-2017-14537 TrixBox Path Traversal (0) | 2021.06.05 |
---|---|
[CVE-2012-1823] 달로즈(Linux Darlloz) (0) | 2021.04.16 |
[CVE-2018-7600] Drupal 취약점 (Drupalgeddon2) (0) | 2021.04.14 |
[CVE-2017-9841] PHPUnit RCE 취약점 (0) | 2021.04.08 |
[CVE-2019-16759] ThinkCMF 취약점 (0) | 2021.04.08 |