用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    5

    主题

    5

    帖子

    575

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-12-21

    i春秋认证

    发表于 2019-4-9 15:15:12 0558
    本帖最后由 白帽汇安全研究院 于 2019-4-9 15:18 编辑

                  

    概述


    近日,白帽汇安全研究院监测到互联网上出现了Confluence远程代码执行漏洞。Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。利用该漏洞可以读取服务器上任意文件,进而可以包含恶意文件来执行代码。可能造成敏感信息泄露,服务器被控制等严重后果。

    分布情况

    根据FOFA的数据统计,全球共有78158个Confluence开放服务,美国最多,有23002个服务,德国第二,有14385个开放服务,中国第三,有7281个服务,澳大利亚第四,有7959个服务,爱尔兰第五,有2893个服务。

    全球分布情况(非漏洞影响范围)

    全国的开放的Confluence服务中,浙江最多,有3040个服务,北京第二,有1713个服务,上海第三,有532个服务,广东第四,有525个服务。

    全国分布情况(非漏洞影响范围)

    漏洞详情

    修改请求中_template参数的值,即可实现本地文件包含,下图获取/etc/passwd文件内容。


    并且可以包含远程文件,支持https协议,http目前无法利用,下图是包含远程文件执行远程命令,获取java版本号。该处也可以进行SSRF攻击。


    执行命令的远程文件代码为(命令要写绝对路径):
    #set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("{command}",null,null).toString();反弹

    shell:


    影响版本

    • 6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。

    漏洞POC

    目前,文中提到的漏洞相关PoC,FOFA客户端已支持检测上述漏洞。

    CVE编号


    CVE-2019-3396

    修复建议


    官方已修复该漏洞,请到官网下载无漏洞版本:https://www.atlassian.com/

    参考


    [1] https://mp.weixin.qq.com/s/7PBKDJ7bjRJHtXUau-swNw
    [2] http://www.baidu.com/link?url=2wPZHfrdppeOvcjUJKLxRBezai6-QtC-q_gZ4T2UbyefVMjTKQZotRuQ53LCSw_0whpzIYQ5bvXbaRhjnE7RYr498j_T5tsT0L-T4tC1UnO&wd=&eqid=8d1b30c50003f5e9000000025caac2b2


    白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

    公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

    为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

    原文链接:https://nosec.org/home/detail/2461.html

                

    发新帖
    您需要登录后才可以回帖 登录 | 立即注册