CVE-2021-26084: серверы Confluence под атакой | Блог Касперского

Злоумышленники ищут и атакуют необновленные серверы Confluence через уязвимость CVE-2021-26084.

В конце августа компания Atlassian объявила о выпуске обновления для исправления уязвимости CVE-2021-26084 в корпоративных вики-системах Confluence. Не прошло и недели, как эксперты обнаружили массовое сканирование в поисках уязвимых серверов Confluence и активные попытки эксплуатации. Мы рекомендуем всем администраторам как можно скорее обновить Confluence Server.

Что собой представляет уязвимость CVE-2021-26084

CVE-2021-26084 — это уязвимость Confluence, возникшая из-за использования языка Object-Graph Navigation Language (OGNL) в системе тегов. Уязвимость позволяет произвести инъекцию кода на OGNL и таким образом исполнить произвольный код на машинах, где развернут Confluence Server или Confluence Data Center, причем в некоторых случаях эксплуатировать ее может даже неаутентифицированный пользователь (в том случае, если в Confluence включена опция Allow people to sign up to create their account).

Atlassian оценивает эту уязвимость как критическую: по системе CVSS ей присвоен рейтинг 9,8. К тому же в Интернете уже появилось несколько демонстраций использования этой уязвимости, в том числе и вариант, допускающий удаленное исполнение кода (RCE).

Какие версии Confluence уязвимы

С перечнем уязвимых версий у Atlassian достаточно сложно — клиенты используют Confluence разных версий и зачастую не спешат переходить на самую свежую (зачем, если и так все работает). Согласно официальному описанию, выпущены обновления для версий 6.13.23, 7.4.11, 7.11.6, 7.12.5 и 7.13.0. Соответственно, CVE-2021-26084 все еще можно проэксплуатировать в версиях, предшествующих 6.13.23, а также версиях начиная с 6.14.0 и до 7.4.11, с 7.5.0 до 7.11.6, с 7.12.0 до 7.12.5. Пользователей Confluence Cloud проблема не затрагивает.

Как остаться в безопасности

Atlassian рекомендует клиентам переходить на самую свежую версию Confluence — 7.13.0. Но если это невозможно, то пользователям версий 6.13.x рекомендуют перейти на 6.13.23; 7.4.x на 7.4.11, 7.11.x на 7.11.6, а 7.12.x — на версию 7.12.5. Если же и это по каким-то причинам невозможно, то компания предлагает несколько временных обходных путей как для решений под системы семейства Linux, так и для Microsoft Windows. Подробную информацию о них можно найти на сайте компании.

Со своей стороны хотим напомнить, что машины, на которых развернут Confluence, — точно такие же конечные точки, как и все прочие серверы. А следовательно, нуждаются в защитном решении — это затруднит потенциальным злоумышленникам исполнение произвольного кода. Кроме того, для удаленной эксплуатации уязвимости злоумышленникам потребуется добраться до сети компании, а такую подозрительную активность могут выявить эксперты сервисов класса Managed Detection and Response. Также стоит ограничивать доступ к Confluence — внутренние сервисы компании не должны быть доступными извне.

07.09.2021