Last updated at Fri, 06 Oct 2023 14:42:46 GMT

On October 4, 2023, Atlassian published a security advisory on CVE-2023-22515, 影响Confluence Server和Confluence Data Center本地实例的严重漏洞. CVE-2023-22515最初被宣布为特权升级漏洞, 但后来被改为访问控制漏洞. Atlassian没有进一步说明漏洞的根本原因,也没有说明漏洞在Confluence实现中的具体位置, 虽然妥协的指标包括提及/setup/*端点.

该公告指出,“Atlassian已经注意到少数客户报告的一个问题,即外部攻击者可能利用公开可访问的Confluence数据中心和服务器实例中的一个以前未知的漏洞,创建未经授权的Confluence管理员帐户并访问Confluence实例.”

When we initially published this blog, we remarked that it was unusual, though not unprecedented, 使特权升级漏洞具有临界严重性等级. Atlassian的警告暗示该漏洞可以被远程利用, 与权限升级问题相比,绕过身份验证或远程代码执行链通常更符合哪一个问题. 该漏洞可能允许普通用户帐户升级为管理员- Confluence允许新用户注册而无需批准, but this feature is disabled by default.

Update: Rapid7's research team 是否识别并触发了漏洞, 哪一个是完全未经身份验证且容易被利用的. 无论出于何种原因,我们没有观察到与Atlassian相同的异常消息 mentioned in their FAQ. Based on our analysis, 除了创建新的admin用户之外,很可能还有其他攻击途径. Notably, our team leveraged the /server-info.action 这是Atlassian在其ioc中没有提到的.

因为CVE-2023-22515已经在用户环境中被利用, Atlassian建议本地Confluence服务器和数据中心客户立即更新到固定版本, or else implement mitigations. 该报告指出,“公共互联网上的实例尤其危险, 因为此漏洞可以匿名利用.“折衷指标载于咨询文件,并转载于 Mitigation guidance section below.

Affected Products

影响Confluence Server和Data Center的版本如下:

  • 8.0.0
  • 8.0.1
  • 8.0.2
  • 8.0.3
  • 8.0.4
  • 8.1.0
  • 8.1.1
  • 8.1.3
  • 8.1.4
  • 8.2.0
  • 8.2.1
  • 8.2.2
  • 8.2.3
  • 8.3.0
  • 8.3.1
  • 8.3.2
  • 8.4.0
  • 8.4.1
  • 8.4.2
  • 8.5.0
  • 8.5.1

Versions prior to 8.0.0 are not affected by this vulnerability. Atlassian Cloud站点不受此漏洞影响. Confluence sites accessed via an atlassian.net 域由Atlassian托管,不容易受到此问题的影响.

Fixed versions:

  • 8.3.3 or later
  • 8.4.3 or later
  • 8.5.2 (Long Term Support release) or later

For more information, refer to the Atlassian advisory and release notes.

Mitigation guidance

内部部署的Confluence Server和Confluence Data Center客户应立即升级到固定版本, 限制外部网络访问易受攻击的系统,直到他们能够这样做. Atlassian的建议称,可以通过阻止对Confluence实例上的/setup/*端点的访问来缓解已知的攻击向量. Directions on doing this are in the advisory.

Atlassian建议检查所有受影响的Confluence实例是否存在以下入侵指标:

  • 一致性管理员组的意外成员
  • Unexpected newly created user accounts
  • Requests to /setup/*.action in network access logs
  • Presence of /setup/setupadministrator.在atlassian-confluence-security中异常消息中的操作.log in the Confluence home directory

如前所述,Rapid7团队能够识别并触发漏洞. In doing so, we leveraged the /server-info.action 这是Atlassian在其ioc中没有提到的.

Rapid7 customers

InsightVM和expose客户将能够通过基于远程版本的漏洞检查来评估他们对CVE-2023-22515的暴露,预计将在今天(10月4日)的内容发布中提供.

Updates

October 5, 2023: 更新,Rapid7团队已经识别并触发了该漏洞, which is trivially exploitable. Our team leveraged the /server-info.action 端点,它已添加到上面的ioc中.

October 6, 2023: 更新到注意Atlassian已经改变了他们的 description 从“特权升级”到“访问控制中断”的漏洞."