跳转至

T1190-CVE-2019-3398 Confluence路径穿越漏洞

来自ATT&CK的描述

使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

Confluence Server和Data Center在downloadallattachments资源中存在路径穿越漏洞。 在Page或Blogs具有添加附件权限的用户,或具有创建新空间或个人空间权限的用户,或对某空间具有“管理员”权限的用户可利用此路径穿越漏洞将文件写入任意位置。一定条件下可以执行任意代码。

漏洞影响范围:

2.0.0 <= version < 6.6.13

6.7.0 <= version < 6.12.4

6.13.0 <= version < 6.13.4

6.14.0 <= version < 6.14.3

6.15.0 <= version < 6.15.2

检测日志

HTTP.log

测试复现

漏洞利用建议参考:

(环境搭建+复现)CVE-2019-3398 Confluence路径穿越漏洞

https://blog.csdn.net/qq_40989258/article/details/105274370

测试留痕

暂无实测,故无留痕。直接引用漏洞利用建议参考中的案例数据进行特征提取。

POST请求数据包

检测规则/思路

Sigma规则

建议使用HTTP流量+安全设备进行检测分析判断攻击是否成功。

title: Confluence_CVE-2019-3398漏洞利用行为检测
status: experimental
description: 检测CVE-2019-3398中描述的路径穿越漏洞的利用行为 
references:
    - https://devcentral.f5.com/s/articles/confluence-arbitrary-file-write-via-path-traversal-cve-2019-3398-34181
    - https://blog.csdn.net/qq_40989258/article/details/105274370
author: Florian Roth
translator: 12306Bro
date: 2020/05/26
tags:
    - attack.initial_access
    - attack.t1190
logsource:
    category: webserver
detection:
    selection:
        cs-method: 'POST'
        c-uri|contains|all:
            - '/upload.action'
            - 'filename=../../../../'
    condition: selection
fields:
    - c-ip
    - c-dns
falsepositives:
    - Unknown
level: critical

建议

暂无

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/

(环境搭建+复现)CVE-2019-3398 Confluence路径穿越漏洞

https://blog.csdn.net/qq_40989258/article/details/105274370