CVE-2023-22527 : Atlassian Confluence 취약점

해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 또한 약간의 틀린내용 및 사용된 취약점이 추가적으로 있음을 알려드립니다.

 

몇달전 텔레그램을 통해 대학교, 여러기관의 데이터가 유출된 일이 있었다. 공격자는 중국의 니옌으로 불리는 해커로 시작되었으며 텔레그램을 통해 실제 데이터들이 유출이 되었다. 

 

명절(설)을 앞두고 있는 상황이라 공휴일에 또한 공격을 진행할 것이라고 예고는 했으나 니옌의 텔레그램을 통한바로는 문제의 소지가 있던 부분을 서로 오해를 풀고 마무리가 되었다고 글을 올렸다. 

 

사실 위에 내용은 뭐 그냥 공격이 있었고 일어날수도 있다. 이렇게 생각하고 지나갈 수 있으나 한편으론 어떤취약점을 사용하였을까 라는 생각이 들었고 사용된 취약점과 니옌이 실제로 사용한 페이로드 등을 구할 수있었다. 

실제 사용한 페이로드 같은 경우엔 공개를 하지않을 예정이다.

 

공격이 일어난 날 어떤 취약점을 이용하였는지 확인하였으나 이제 글을 쓰는 이유는 취약점이 패치안된곳들 또한 많았고 그만큼의 이슈가 많이 되었기 때문에 지금은 공부 및 연구 목적으로 작성을 한다. 불법적으로 사용 절대 금지

 

사용된 취약점은 CVE-2023-22527(Atlassian Confluence)이다. Atlassian Confluence의 경우 상용위키 즉 협업 문서에 사용된다고 생각하면 쉬울 것같다. 

 

그럼 모든 Atlassian Confluence에서 취약점이 발생하는 것일까?

  - 그렇지 않다. 해당 취약점은 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3 버전에서만 발생한다.

 

왜일어나는 것일까?

  - Atlassian Confluence는 JAVA의 언어를 사용하게 된다. 이때 복잡한 구문을 편의를 위해 간편화를 하는데 이때 OGNL(Object-Graph Navigation Language)를 사용하게 된다. 사용하는 것은 문제가 되지않으나 사용을 할때 적절한 검증 및 사용 후 삭제하지않을 경우 공격이 가능하다. 즉, 우리가 흔히 아는 원격코드실행(RCE)가 가능하다는 것이다.

 

PoC 코드를 확인해보면 아래의 payload가 있는데

headers = {
        "Content-Type": "application/x-www-form-urlencoded"
    }
    data = r"label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new freemarker.template.utility.Execute()).exec({'" + cmd + "'}))"

 

payload를  확인해보면 #request .KEY_Velocity.structs2.context.internalGet("OGNL") 라는 구문을 통해 OGNL를 사용하는 것을 확인할 수 있다.

 

이렇게 OGNL 구문을 이용하여 원격코드실행이 가능하여 공격이 실행되었다. 

구문을 실제로 보내보자

confluence 페이지

 

명령을 단일적으로 보낼수 있지만 shell을 이용하여 대화형으로 명령을 시킬것이다.

 

이렇게 원격 코드실행이 가능하다. 취약한 버전의 confluence를 사용할 경우 공격이 가능하고 생각보다 취약한 서버들이 많을 것으로 생각된다. 확인해보니 비슷한 취약점이 2017년에도 발견된 것으로 알고있다.

 

취약버전을 사용하는 서버는 빠르게 보안취약점 패치된 버전으로 업데이트하는 것이 좋을 것같다. 편의를 위해 OGNL을 사용 하는 것은 좋으나 조금더 신경을 쓰고 사용을 하면 예방이 가능하지않을까라는 생각이 든다.