الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-26314السيرة الذاتية: 3.0 النتيجة: غير متوفر

ملخص تنفيذي

تهديدتأثيرتخفيف

• ثغرة أمنية في حقن OGNL عن بُعد تؤدي إلى RCE في جميع الإصدارات المدعومة من خادم Confluence ومركز البيانات.
• يتم استغلالها بنشاط في البرية من قبل الجهات الفاعلة في مجال التهديد.
• تم اكتشاف أول حالة من الاستغلال باعتبارها يوم الصفر في البرية بواسطة Volexity.

• يمكن للمهاجمين استغلال هذه الثغرة الأمنية لتنفيذ الأوامر عن بُعد.
• يمكن أن يمكّن موطئ القدم الأولي الجهات الفاعلة في مجال التهديد من زيادة استغلال الشبكات ونشر برامج الفدية وتسريب البيانات وما إلى ذلك.
• فقدان السمعة والإيرادات وبيانات العملاء والملكية الفكرية وما إلى ذلك.

• قم بتحديث إصدارات خادم Confluence ومركز البيانات إلى:
  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

نظرة عامة على CVE-2022-26314

• CVE-2022-26314 هي ثغرة أمنية غير مصدقة وبعيدة لحقن OGNL يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.
• نظرًا للطبيعة العامة لخوادم Confluence، فإن الثغرة الأمنية تشكل خطرًا كبيرًا للاستغلال.
• لاستغلال الثغرة الأمنية، يحتاج المهاجم الذي لديه إمكانية الوصول إلى الشبكة ببساطة إلى إرسال طلب مصمم خصيصًا إلى مثيل Confluence الضعيف للحصول على تنفيذ التعليمات البرمجية على النظام المستهدف.

معلومات من OSINT

• هناك ما لا يقل عن 9,396 نسخة يمكن الوصول إليها بشكل عام من Confluence على الإنترنت.

[معرف التسمية التوضيحية = «المرفق _19536" align= «alignnone» width="316"] المصدر: شودان [/caption]

• تمت ملاحظة الاستغلال الشامل لهذه الثغرة الأمنية من قبل مصادر متعددة.

[معرف التسمية التوضيحية = «المرفق _19537" align= «alignnone» width="1274"] المصدر: Cloudflare [/caption]

معلومات من دارك ويب

وقد لوحظ قدر كبير من الأحاديث في منتديات وقنوات الجرائم الإلكترونية فيما يتعلق بهذه الثغرة الأمنية. [معرف التسمية التوضيحية = «المرفق _19538" align= «alignnone» width="1350"] منشور منتدى الجرائم الإلكترونية يناقش CVE-2022-26134 [/caption]

التحليل الفني

CVE-2022-26134 هي ثغرة أمنية غير مصدقة لحقن OGNL تؤثر على خوادم HTTP.

• لاستغلال الثغرة الأمنية، يتم وضع حمولة OGNL في URI لطلب HTTP، باستخدام أي طريقة HTTP صالحة أو غير صالحة.
• تتم ترجمة URI الذي يوفره المهاجم إلى مساحة اسم تجد طريقها بعد ذلك إلى تقييم تعبير OGNL.

curl -v http://{host}/%24%7B%40java.lang.Runtime%40getRuntime%28%29.exec%28%22touch%20/tmp/r7%22%29%7D/حمولة مشفرة

• تحتوي حمولة الاستغلال المشفرة لعنوان URL أعلاه على كل شيء من بداية موقع المحتوى إلى مثيل /.

$ {@java .lang.runtime @getRuntime () .exec («تاتش /tmp/r7 «)}الحمولة المفككة

التأثير والتخفيف

التأثيرالتخفيف

• يمكن للمهاجمين استخدام هذه الثغرة الأمنية لتنفيذ الأوامر عن بُعد.
• نظرًا لسهولة استغلال الخلل، يمكن للجهات الفاعلة في مجال التهديد استهداف عدد كبير من الضحايا والاستفادة منه لنشر برامج الفدية.
• الخسارة المحتملة للإيرادات والسمعة والملكية الفكرية.

• قم بتحديث إصدارات خادم Confluence ومركز البيانات إلى:
  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

المراجع

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• الاستغلال النشط لكونفلونس CVE-2022-26134 | مدونة Rapid7
• الاستشارات الأمنية لشركة كونفلوينس 2022-06-02 | مركز بيانات كونفلوينس والخادم 7.18 | الوثائق الأطلسية
• استغلال يوم الصفر للملتقى الأطلسي