Tutoriales

Escáner CVE-2023-22515

octubre 22, 2023
0 8 3 minutos de lectura
Escáner CVE-2023-22515

Este es un escáner simple. CVE-2023-22515una vulnerabilidad crítica en los centros de datos y servidores de Atlassian Confluence que los actores de amenazas están explotando activamente para «crear cuentas de administrador de Confluence no autorizadas y acceder a instancias de Confluence».

La vulnerabilidad se describió inicialmente como un problema de «escalada de privilegios», pero Atlassian luego cambió la clasificación a «violación del control de acceso» en su informe. Consultoría de seguridad.

  • 4 de octubre de 2023: lanzamiento de Atlassian Consultoría de seguridad CVE-2023-22515, que luego se describió como una vulnerabilidad crítica de «escalada de privilegios» en el centro de datos de Atlassian Confluence.
    • El aviso cubre versiones vulnerables, versiones parcheadas, soluciones alternativas y IOC.
  • 5 de octubre de 2023: CISA Añadido CVE-2023-22515 a lo que saben Directorio de vulnerabilidades explotadas.
    • El mismo día, Rapid7 actualizó su artículo Respecto a CVE-2023-22515, publicado originalmente el 4 de octubre, menciona al investigador de seguridad Rapid7 Esteban Fehr Se ha confirmado que la vulnerabilidad no está autenticada en absoluto y es fácilmente explotable.
    • La actualización también menciona que Rapid7 explota /server-info.action El punto final que desencadenó el problema, que es diferente del punto final mencionado en el aviso de Atlassian.
  • 6 de octubre de 2023: Atlassian eliminó la descripción de CVE-2023-22515 en su documentación. Consultoría de seguridad Desde la «escalada de privilegios» hasta la «rotura del control de acceso».

Este es un escáner simple que intentará determinar el estado de vulnerabilidad de Atlassian Confluence realizando hasta dos solicitudes HTTP GET por host y analizando las respuestas:

  • Realice una solicitud GET a la URL proporcionada (que debe ser la URL base de la aplicación) para verificar que el destino sea Atlassian Confluence y obtener la versión del producto.
  • una solicitud OBTENER /server-info.action Verifique el código de respuesta.La comparación de parches muestra que el parche para CVE-2023-22515 ha sido eliminado /server-info.action Final completo. Durante las pruebas, se observó el siguiente comportamiento con este punto final:
    • Versiones no afectadas (anteriores a 8.0.0), responden con el código de estado 404
    • Las versiones vulnerables responden con un código de estado 200
    • La versión parcheada responde con el código de estado 302
LEER  # 16 Antergos - Podcast de Linux

Este escáner se ha probado con éxito con las siguientes versiones de Atlassian Confluence Server:

  • 7.4.10 (no afectado)
  • 8.4.2 (Frágil)
  • 8.4.3 (parcheado)
  • 8.5.0 (frágil)
  • 8.6.0 (última imagen de la ventana acoplable – parcheada)

Debido a que este script se ha probado con un número limitado de versiones de Atlassian Confluence Server, es posible que el escáner no sea completamente confiable, especialmente con Confluence Data Center o versiones de Confluence Server no probadas.

git clone
  • Ingrese al directorio creado
cd CVE-2023-22515-Scan
  • Utilice pip para instalar dependencias. Dependiendo de su configuración local de Python3, el comando requerido será:
pip install -r requirements.txt

o:

pip3 install -r requirements.txt
usage: cve_2023_22515_scan.py [-h] [-f FILE] [-t TARGETS] [-o OUTPUT_DIR]

Scan Atlassian Confluence web instances for CVE-2023-22515

options:
  -h, --help     show this help message and exit
  -f FILE        File containing a list of URLs to scan
  -t TARGETS     Comma-separated list of URLs to scan
  -o OUTPUT_DIR  Output directory

Por ejemplo:

Publicaciones relacionadas
python cve_2023_22515_scan.py -f urls.txt -o results
python cve_2023_22515_scan.py -t  -o results`
  • likely vulnerable: El objetivo está ejecutando una versión vulnerable (o la versión no se puede detectar) y es vulnerable /server-info.action El punto final está disponible.
  • likely not exploitable: El objetivo está ejecutando una versión vulnerable, pero /server-info.action No se puede acceder al punto final, lo que significa que es posible que haya sido parcheado.
  • not vulnerable: El objetivo no está ejecutando la versión vulnerable o la versión no se puede detectar y /server-info.action No se puede acceder al punto final.
  • unknown: No se puede determinar el estado de la vulnerabilidad porque se encontró un error al intentar acceder /server-info.action punto final.
  • cve_2023_22515_scan.json – Archivo JSON que contiene la versión del producto, el estado de la vulnerabilidad y otra información relevante para cualquier sistema identificado por el script. Contenido de muestra:
[
  {
    "target_url": "
    "product": "Atlassian Confluence",
    "version": "8.5.0",
    "vulnerability_status": "likely vulnerable"
  },
  {
    "target_url": "
    "product": "Atlassian Confluence",
    "version": "8.4.3",
    "vulnerability_status": "not vulnerable"
  }
]
  • cve_2023_22515_scan.txt – Un archivo de texto que contiene un desglose de los resultados legible por humanos. Este es el mismo informe impreso en la consola (menos los colores ANSI). Contenido de muestra:
 - Product: Atlassian Confluence Version: 8.5.0 - vulnerability status: likely vulnerable
 - Product: Atlassian Confluence Version: 8.4.3 - vulnerability status: not vulnerable

Etiquetas
octubre 22, 2023
0 8 3 minutos de lectura

Publicaciones relacionadas

Cómo configurar claves SSH en Ubuntu 22.04

Cómo configurar claves SSH en Ubuntu 22.04

junio 14, 2022

Comandos básicos en Linux Ubuntu 20.04 LTS (2021)

julio 30, 2021

Tutorial de AnyDesk en alemán: instalación y uso en Linux

agosto 29, 2021
Python tipo burbuja

Python tipo burbuja

abril 13, 2022

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba