1.典型案例
本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中的攻击手法
2.场景还原
2.1场景设置
攻击者利用CVE-2023-22527远程代码执行漏洞在服务器上执行命令,获取到服务器管理员权限。
2.2攻击路线图
2.3攻击复现
攻击者利用了CVE-2023-22527漏洞执行了命令,该站点的权限为nt authority\network service(为内置系统账户仅可以访问本地资源和网络资源)。
攻击者使用Metasploit 中的"atlassian_confluence_rce_cve_2023_22527"获取nt authority\network service权限shell接着利用RpcSs服务进行提权获得system权限。
上传AnyDesk启动进行远程控制
3.漏洞详情
3.1漏洞名称
Velocity模板注入导致的远程代码执行漏洞
3.2漏洞类型
远程代码执行
3.3漏洞描述
CVE-2023-22527是Atlassian Confluence Data Center和Server中存在的一个高危模板注入漏洞,允许未经身份验证的攻击者远程执行任意代码(RCE)。以下是其描述:
1. 漏洞类型与影响
受影响产品:Atlassian Confluence(企业级协作与文档管理平台)
影响版本:
8.0.x、8.1.x、8.2.x、8.3.x、8.4.x;8.5.0 ≤ version ≤ 8.5.3。
2. 漏洞分析
漏洞点:位于/template/aui/text-inline.vm文件,攻击者可通过直接访问该路径注入恶意Velocity模板代码。
触发机制:$stack.findValue("getText('$parameters.label')")未对用户输入的label参数过滤,导致攻击者通过构造恶意OGNL表达式注入Struts2上下文,执行系统命令。
模板引擎缺陷:Velocity与Struts2集成时,未正确处理用户提供的参数,允许通过#request对象访问底层Java对象(如freemarker.template.utility.Execute类)。
4.应急响应排查
4.1 Web日志
通过web日志可看到黑客利用了CVE-2023-22527漏洞的payload,攻击直接发送POST请求至/template/aui/text-inline.vm,通过参数(如label和x)传递恶意Payload通过模板注入的方式,解析器会误将攻击者提供的表达式当做模板代码执行,从而触发远程代码执行(RCE)。
4.2 AnyDesk配置文件
可在”C:\Users\启动的用户名\AppData\Roaming\AnyDesk“下找到配置文件,攻击者加载的配置文件也会放在此目录下。
5.防范措施
5.1升级系统版本
官方缓解措施为:没有已知的解决方法。要修复此漏洞,请将每个受影响的产品安装更新到最新版本。
升级版本:Atlassian未发布安全补丁官网解释为:关键安全错误修复将向后移植。我们将为策略涵盖的版本发布新的维护版本,而不是二进制补丁。二进制补丁不再发布。建议升级至8.5.4或更高版本。
5.3网络防护
通过部署Web应用防火墙(WAF)拦截恶意请求,隔离核心服务到内网环境,限制公网暴露面,并配置防火墙规则仅开放必要端口。
5.4安全测试
定期进行渗透测试和代码审计,使用静态分析工具扫描代码风险,对需要执行外部代码的场景使用沙箱或容器隔离,降低漏洞利用可能性。
5.5意识培训
加强开发与运维团队的安全意识培训,熟悉常见漏洞(如OWASP Top 10)和防护措施,提升整体安全防护能力。
收藏
淘帖
有用
分享到朋友圈