在发现严重错误后Atlassian命令客户切断对Confluence的互联网访问

软件公司Atlassian告诉Confluence用户要么限制该工具的互联网访问，要么在它发现一个在野外被利用的高严重性缺陷后完全切断它。协作工具(在新标签中打开)多年来一直存在一个错误，该错误允许威胁参与者对目标端点进行未经身份验证的远程代码执行攻击(在新标签中打开)，公司证实。

据TheRegister报道，Atlassian于6月2日首次报告发现该漏洞。由于补丁仍在开发中，并且由于该漏洞正在被积极利用，该公司已敦促客户采取替代行动。

分享您对网络安全的看法，并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

起初，该公司认为只有最新版本的ConfluenceServer7.18存在漏洞，因为有证据表明该版本受到攻击。然而，进一步调查发现所有版本(从1.3.5开始)都存在漏洞。版本1.3.5于近十年前于2013年发布。

补丁_(在新标签中打开)仍在开发中，公司承诺将在当天(6月3日)结束前发布。虽然这肯定是个好消息，但鉴于现在是星期五，并非所有公司都能及时修补。

那些想在周末安然入睡的人有几个选项可供选择：限制ConfluenceServer和DataCenter实例对Internet的访问，或者完全禁用ConfluenceServer和DataCenter实例。Atlassian还表示，公司可以实施Web应用程序防火墙(WAF)规则来阻止所有包含${的URL，因为这“可能会降低您的风险”。

该漏洞被追踪为CVE-2022-26134，最初是由安全公司Volexity发现的。该公司表示，攻击者可以将JaveServerPagewebshel​​l插入到Confluence服务器上可公开访问的Web目录中。

“该文件是ChinaChopperwebshel​​l的JSP变体的著名副本，”Volexity写道。“然而，对网络日志的审查表明，该文件几乎没有被访问过。webshel​​l似乎是作为二次访问的一种手段而编写的。”

Confluence的Web应用程序进程也被发现一直在启动bashshell，Volexity说，这很“突出”，因为它产生了一个触发Python进程的bash进程，产生了一个bashshell。

“Volexity认为攻击者发起了一次单一的利用尝试……这反过来又在内存中加载了一个恶意类文件。这使攻击者能够有效地拥有一个可以通过后续请求与之交互的webshel​​l。这种攻击的好处使攻击者能够不必须不断地重新利用服务器并执行命令，而无需将后门文件写入磁盘。”