Atlassian Confluence Data Center為客戶提供運行多節點集群的功能,確保高度的可用性、擴展性和大規模效能。相對的,Confluence Server是基於單一節點的版本。近期,Atlassian公布了CVE-2023-22515漏洞(CVSS評分為10分),此漏洞影響特定版本的Confluence Data Center和Server。該漏洞允許有惡意意圖的攻擊者創建未經授權的Confluence管理員帳戶,從而獲得對Confluence實例的初始訪問權限。這是一個之前未被發現的漏洞,已有多位客戶回報其在公開的Confluence Data Center和Server實例中被利用,用於非法創建和訪問Confluence管理員帳戶。
漏洞是通過未經身份驗證的/server-info.action端點的請求觸發的。 威脅行為者可以更改Confluence服務器的配置,指示設置尚未完成,並使用 /setup/setupadministrator.action 端點來創建新的管理員用戶。
受影響的Atlassian Confluence Data Center及Server產品版本
目前還受影響的Confluence Data Center and Confluence Server的版本 (8.0版本之前的版本不受這個漏洞影響。)
- 8.0.0
- 8.0.1
- 8.0.2
- 8.0.3
- 8.1.0
- 8.1.3
- 8.1.4
- 8.2.0
- 8.2.1
- 8.2.2
- 8.2.3
- 8.3.0
- 8.3.1
- 8.3.2
- 8.4.0
- 8.4.1
- 8.4.2
- 8.5.0
- 8.5.1
如果您的Confluence網站是通過 atlassian.net 域名訪問的,那麼它由Atlassian托管,並且不受此問題的影響(2)。
關於台灣
Shodan
FOFA.
保守估計全台約有23個Atlassian Confluence Data Center及Server的服務暴露於公網中,工研院資通所資料暨資訊安全組針對目前自有資料庫收錄共191個台灣範圍的Atlassian Confluence Data Center及Server服務進行概念性的驗證(PoC),將對目標網站進行檢查評估漏洞是否存在,結果發現共1台主機有漏洞,已通報第三方TWCERT/CC機構協助修補
驗證方式
該PoC參考ErickWynter[4]和Chocapikk[5]所公開發表的PoC。從Atlassian所發表的漏洞可以知道, CVE-2023-22515可以透過向Confluence相關漏洞的產品的網址,通過GET來呼叫該網址,並且在網址的/server-info.action把其中的bootstrapStatusProvider.applicationConfig.setupComplete設成false。

這樣的話服務器會因爲指示設置尚未完成而允許威脅行為者利用這樣的方式來創建新的管理用戶。駭客可以把帳號和密碼利用POST的方式到該網站來註冊非法帳號。

威脅
在後期,這漏洞可能造成資料外洩。資料外洩可以透過多種技術執行。觀察到的一種主要方法涉及使用cURL,這是一個命令行工具,用於將數據從或傳輸到伺服器。(1)
此外,也有報告提到說Confluence的協作環境存放著來自內部專案、客戶和合作夥伴的敏感資料,潛在的入侵者能夠蒐集關鍵資訊,用於對第三方發動後續攻擊列如允許中國網路間諜利用Confluence應用程式作為攻擊多個組織的媒介,引發了系統性的供應鏈弱點。考慮到大多數企業和政府機構廣泛使用Confluence,這個漏洞可能導致應用程式被劫持,進而引發跳島攻擊。(3)
如何避免
1. 升級instance至更安全的版本
2. 進行全面的威脅檢測
- 利用IoC像是Confluence管理員群組中的意外成員,意外新建的使用者帳戶, 網路存取日誌中對setup/*.action的請求, 在Confluence主目錄中的atlassian-confluence-security.log例外訊息中存在/setup/setupadministrator.action的記錄。【這些IoC主要由Atlassian官方建議】(2)
- IP address 例如“170.106.106[.]16”, “43.130.1[.]222” , “152.32.207[.]23” , “199.19.110[.]14” 和“95.217.6[.] 15” 【這些IoC主要由美國FBI發現】(1)
3. 修改Confluence的設定檔 (如果正在使用被影響的版本)
- 在每一個node裏的/<confluence-install-dir>/confluence/WEB-INF/web.xml增加以下的配置

- 重啓confluence
Reference
1.
https://www.cisa.gov/sites/default/files/2023-10/aa23-289a-threat-actors-exploit-atlassian-confluence-cve-2023-22515-for-initial-access_0.pdf
2.
https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html
3.
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10741
4.
https://github.com/ErikWynter/CVE-2023-22515-Scan/tree/main
5.
https://github.com/Chocapikk/CVE-2023-22515/tree/main
6.
https://www.cve.org/CVERecord?id=CVE-2023-22515
7.
https://confluence.atlassian.com/enterprise/confluence-data-center-technical-overview-612959401.html
歷史通報記錄
CVE-2023-22515
CVE-2023-3519
CVE-2023-27997
CVE-2023-28432
CVE-2022-41040
CVE-2022-26134
CVE-2021-36260
CVE-2022-26134
CVE-2021-26855
CVE-2021-41277