CVE-2022-26134 là một lỗ hổng thực thi mã từ xa (Remote Code Execution -

RCE) trong Confluence Server và Confluence Data Center do Atlassian phát

triển. Lỗ hổng này liên quan đến việc xử lý các biểu thức OGNL (Object-Graph
Navigation Language), một ngôn ngữ mà Confluence sử dụng để cấu hình và
thao tác các đối tượng trong ứng dụng.

Nguyên nhân gây ra lỗ hổng

OGNL cho phép thực hiện các thao tác phức tạp trên đối tượng và có khả
năng thực thi mã tùy ý. Trong trường hợp của CVE-2022-26134, một lỗi trong
cách Confluence xử lý các biểu thức OGNL đã cho phép kẻ tấn công có thể
chèn và thực thi mã Java tùy ý trên máy chủ mà không cần xác thực. Điều này
đặc biệt nguy hiểm vì nó cho phép kẻ tấn công có khả năng truy cập hệ thống
hoàn toàn từ xa.
Cách thức hoạt động của lỗ hổng
Một kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã tùy ý. Cụ
thể, kẻ tấn công cần tạo một yêu cầu HTTP đặc biệt với payload OGNL (Object-
Graph Navigation Language - ngôn ngữ biểu thức cho Java) độc hại trong URI
và gửi nó đến máy chủ dễ bị tấn công. Lỗ hổng này được khai thác sớm nhất
vào ngày 30 tháng 5 năm 2022 theo ước tính và một số tác nhân đe dọa đã triển
khai một biến thể của webshell China Chopper sau khi truy cập vào hệ thống dễ
bị tấn công.
Vì OGNL là ngôn ngữ biểu thức cho các ứng dụng web dựa trên Java, lỗ
hổng này cũng áp dụng cho các ứng dụng web khác chạy các lớp giống như
Confluence sử dụng!
Khi đánh giá các phát hiện và chi tiết về lỗ hổng, lỗ hổng này nên được
coi là có tác động rủi ro cao do khả năng thực thi mã từ xa (RCE) mà không cần
bất kỳ tương tác hay quyền từ người dùng.
Theo Volexity, các hành động theo sau của kẻ tấn công sau khi khai thác thành
công các phiên bản Confluence Server và Data Center là:
1. Triển khai một bản sao của máy chủ web mã nguồn mở Behinder trên
bộ nhớ.

2. Sử dụng Behinder, kẻ tấn công triển khai các shell sau:

 Vì implant Behinder cũng có hỗ trợ tích hợp cho việc tương tác với
Cobalt Strike và Meterpreter, kẻ tấn công cũng có thể sử dụng các công cụ sau
khai thác này.

• Kiểm tra phiên bản hệ điều hành

• Truy cập các tệp “/etc/passwd” và “/etc/shadow” để đổ thông tin đăng

nhập

• Xóa dấu vết bằng cách gỡ bỏ nhật ký truy cập web

CISA đã thêm lỗ hổng này vào Danh mục Lỗ hổng Đã Khai thác Được
Biết của họ vào ngày 2 tháng 6 năm 2022, với ngày hoàn thành khắc phục yêu
cầu là ngày 3 tháng 6 năm 2022.

Trinh sát và Chuẩn bị

Gồm một số request GET độc hại đến hệ thống Atlassian Confluence bị
ảnh hưởng.
Thông tin Hệ thống:
 Máy chủ Dễ bị Tấn công: 10.x.x.117
 Cổng Dễ bị Tấn công: 8090
 IP Nguồn Khai thác: 10.x.x.224
Trong các phiên bản Confluence bị ảnh hưởng, tồn tại lỗ hổng tiêm
OGNL cho phép kẻ tấn công không xác thực thực thi mã tùy ý trên hệ thống.
Hệ điều hành bị ảnh hưởng: Windows/Linux/Mac
Trong POC này, quá trình sẽ được chạy trên môi trường Linux.
Đầu tiên, kết nối với http://10.x.x.117:8090 nên được kiểm tra để xác
minh máy chủ mục tiêu đã sẵn sàng cho việc xâm nhập.
Hình 1 — Kiểm tra Kết nối
Vì OGNL có thể được sửa đổi; chúng