2021년 8월 25일, Atlassian는 공식 홈페이지 공지를 통해 Confluence 원격코드 실행 취약점이 발견되었다고 밝혔습니다. 발견된 CVE-2021-26084 취약점은 Confluence 서버 및 Confluence Data Center 소프트웨어에 영향을 미칩니다. Atlassian는 취약점 패치와 함께 임시 해결 방법인 취약점 완화 스크립트를 제공했습니다.

취약점은 Confluence 소프트웨어의 OGNL(Object-Graph Navigation Language) 스크립트 언어에서 발견됐습니다. 공격자는 OGNL 인젝션을 통해 Confluence Server 또는 Data Center 인스턴스에서 임의의 코드를 실행할 수 있습니다. CVE-2021-26084 취약점은 CVSS(v3) 9.8점으로 발표되었습니다.

베트남 보안 연구원 Tuan Anh Nguyen은 공격자가 CVE-2021-26084에 취약한 Confluence 서버가 대량 스캔 되었다고 말했습니다. 취약점이 발견된 후, 보안 연구원 Rahul Maini와 Harsh Jaiswal은 GitHub에 CVE-2021-26084 취약점에 대한 설명과 PoC를 공개했습니다.

[그림 1] Confluence 원격 코드 실행 (출처: Rahul Maini 트위터)

CVE-2021-26084 취약점은 가입이 허용되지 않은 사용자도 인증 없이 우회해 공격할 수 있습니다. 따라서 패치를 적용하지 않은 취약한 Confluence 서버를 대상으로 한 공격이 증가 할 것으로 예상됩니다.

한편, Confluence는 Audi(아우디), Hubspot(허브스팟), NASA, LinkedIn(링크드인), Twilio(트윌리오), Docker(도커) 등 60,000명 이상의 고객이 이용하고 있습니다.

영향을 받는 버전

Atlassian Confluence Server/Data Center 모든 4.x~6.12.x 버전

Atlassian Confluence Server/Data Center < 6.13.23

Atlassian Confluence Server/Data Center 모든 6.14~7.3.x 버전

Atlassian Confluence Server/Data Center < 7.4.11

Atlassian Confluence Server/Data Center 모든 7.5.x~7.10.x 버전

Atlassian Confluence Server/Data Center < 7.11.6

Atlassian Confluence Server/Data Center < 7.12.5

Confluence 클라우드는 영향을 받지 않습니다.

패치 방법

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5

Atlassian Confluence Server/Data Center 7.13.0

[출처]

https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md

https://therecord.media/confluence-enterprise-servers-targeted-with-recent-vulnerability/

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

보안관제센터 Team MIR