Muitas redes corporativas têm vindo a ser invadidas através de uma falha no Confluence, dada pelo CVE-2022-26134.
Trata-se de uma falha no OGNL (essencialmente uma linguagem de navegação open-source para objetos em Java), que permite a um atacante executar código remotamente, sem autenticação, e dessa forma criar contas novas de administrador.
Recentemente tem-se observado o deploy de diversas strips de ransomware nos servidores confluence de diversas empresas, pelo que é extremamente urgente, agora que já existe uma atualização para esses mesmos servidores, aplicar essa mesma atualização, ou no mínimo aplicar o workaround também já disponibilizado para aqueles casos que não é conveniente ou não é possível para já atualizar o servidor
Versões afetadas
Confluence Server e Confluence Data Center 1.3.0
Solução (Versões corrigidas)
7.4.17
7.13.7
7.14.3
7.15.2
7.16.4
7.17.4
7.18.1
Workaround
- Desligar o Confluence; fazer download do jar (https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar); apagar esta versão (<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar); copiar a versão de que se fez download xwork-1.0.3-atlassian-10.jar para <confluence-install>/confluence/WEB-INF/lib/; veriicar as permissões do novo ficheiro e iniciar o confluence
Mais informações no guia oficial de atualização
Guia oficial de atualização do Confluence: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html#:~:text=download%20centre.-,Mitigation,-If%20you%20are
Comments