□ 개요

Confluence Server와 Data Center에서 인증 없이 원격 코드 실행이 가능한 취약점(CVE-2022-26134)

□ 영향 받는 제품 및 버전

1.3.0 이후의 Confluence Server와 Data Center 제품 버전에 영향

□  대응 방안

o 취약점 패치된 버전으로 업데이트 진행

• 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1

o 패치가 불가능한 경우 임시 조치 방안

• Confluence Server 및 Data Center 인스턴스 인터넷 연결 제한

• Confluence Server 및 Data Center 인스턴스 비활성

• WAF에 “${” 가 포함된 URL을 차단하는 규칙을 등록

□ IOC

o 업로드된 웹쉘과 통신한 IP

o File Upload Webshell

o Chopper Webshell

□ IOA

□ 참고 자료

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/

https://blog.cloudflare.com/cloudflare-observations-of-confluence-zero-day-cve-2022-26134/