Atlassian Confluence: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1400	Выгрузка множества страниц Confluence	В Confluence существует функционал выгрузки отдельных страниц. Выгружать можно страницы в форматах PDF (конечная точка `pdfpageexport.action`) и Word (конечная точка `exportword`). В случае если осуществляется множественная выгрузка страниц, то данная активность может говорить об экспорте чувствительных данных с веб-сервера атакующими или нелегитимной работе внутренних сотрудников.	Collection (TA0009) Data from Information Repositories (T1213) Confluence (T1213.001)
RV-D-1403	Выгрузка пространства Confluence	В Confluence существует функционал выгрузки целого пространства, которое может содержать множество страниц документов, фотографий и так далее. Выгружать пространства можно в форматах PDF (конечная точка `doflyingpdf.action`), HTML (конечная точка `doexportspace.action`) и XML (конечные точки `doexportspace.action` и `/rest/api/backup-restore/backup/space`). В случае если осуществляется выгрузка пространства, то данная активность может говорить об экспорте чувствительных данных с веб-сервера атакующими или нелегитимной работе внутренних сотрудников.	Collection (TA0009) Data from Information Repositories (T1213) Confluence (T1213.001)
RV-D-1404	Множественные попытки входа на веб-сервер Confluence	Для входа в веб-сервер Confluence используются конечные точки `login.action` и `dologin.action`. Атакующие могут методом перебора постараться подобрать пароль к учетной записи.	Credential Access (TA0006) Brute Force (T1110) Password Guessing (T1110.001)
RV-D-1405	Эксплуатация уязвимости в Confluence - CVE-2023-22515	Уязвимость CVE-2023-22515 заключается в возможности перезапуска процесса настройки сервера, причем для этого даже не требуется аутентификация. Благодаря эксплуатации CVE-2023-22515 атакующий может получить возможность создания аккаунтов с правами администратора на уязвимом Confluence-сервере, а также иными привилегиями, доступными, если сервер находится в состоянии незавершенной установки.	Execution (TA0002) Exploitation for Privilege Escalation (T1068) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203)
RV-D-1406	Эксплуатация уязвимости в Confluence - CVE-2023-22527	Уязвимость Atlassian Confluence CVE-2023-22527 — это уязвимость инъекции OGNL (англ. Object-Graph Navigation Language), которая позволяет неавторизованным атакующим удаленно выполнять произвольные команды в уязвимом экземпляре Confluence. Эксплуатация уязвимости задействует файл шаблона Velocity с названием `text-inline.vm`.	Execution (TA0002) Exploitation for Privilege Escalation (T1068) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203)
RV-D-1407	Выполнение OGNL инъекции через Java-выражения в Confluence	Данное правило детектирует потенциальное выполнение OGNL-инъекции через Java-выражения в Confluence. В случае наличия у определенной версии Confluence уязвимых компонентов, отвечающих за вычисления выражений OGNL из Java команд, возможно удаленное выполнение кода. Одним из примеров такой уязвимости является CVE-2022-26134. Уязвимость CVE-2022-26134 является OGNL-инъекцией, вследствие которой после подгрузки вредоносного Java-запроса в параметры HTTP-запроса (любого, в том числе несуществующего) производится неправильная обработка запроса OGNL и происходит удаленное выполнение кода.	Execution (TA0002) Exploitation for Client Execution (T1203)
RV-D-1408	Создание множества страниц Confluence	В Confluence существует функционал создания страниц. Атакующие, после аутентификации на веб-сервере Confluence могут использовать доступные им права для создания множества страниц. Это чревато такими последствиями, как перегрузка системы, заполнение хранилища, скрытие вредоносного контента и так далее.	Impact (TA0040) Defacement (T1491) Internal Defacement (T1491.001) External Defacement (T1491.002) Data Manipulation (T1565) Stored Data Manipulation (T1565.001)
RV-D-1409	Отключение аудита журналов приложения Confluence	В Confluence существует функционал отключения модулей логирования непосредственно в веб-интерфейсе системы. При помощи данного функционала можно отключить основные логирующие компоненты `log4j`, отвечающие за логирование в Java-приложениях. Также в веб-интерфейсе можно отключить функционал ведения журнала SQL. Данная активность может затруднить расследование инцидента.	Defense Evasion (TA0005) Impair Defenses (T1562)
RV-D-1410	Эксплуатация уязвимости в Confluence - CVE-2023-22518	CVE-2023-22518 — это уязвимость неправильной авторизации в конечных точках setup-restore*.action для Atlassian Confluence Data Center и Server. Уязвимости подвержены все версии до 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1. Атакующий может использовать эту уязвимость, отправляя запросы, содержащие необходимые параметры, к конечным точкам на экземпляре Confluence Data Center или Server. В результате атаки возможно полностью перезаписать содержимое атакуемого сервера Confluence на собственные данные, в том числе пересоздать учетную запись администратора, что может привести к потере контроля над сервером Confluence.	Execution (TA0002) Exploitation for Privilege Escalation (T1068) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203)

RV-D-1400

Выгрузка множества страниц Confluence

В Confluence существует функционал выгрузки отдельных страниц. Выгружать можно страницы в форматах PDF (конечная точка pdfpageexport.action) и Word (конечная точка exportword). В случае если осуществляется множественная выгрузка страниц, то данная активность может говорить об экспорте чувствительных данных с веб-сервера атакующими или нелегитимной работе внутренних сотрудников.

Collection (TA0009)
Data from Information Repositories (T1213)
Confluence (T1213.001)

RV-D-1403

Выгрузка пространства Confluence

В Confluence существует функционал выгрузки целого пространства, которое может содержать множество страниц документов, фотографий и так далее. Выгружать пространства можно в форматах PDF (конечная точка doflyingpdf.action), HTML (конечная точка doexportspace.action) и XML (конечные точки doexportspace.action и /rest/api/backup-restore/backup/space). В случае если осуществляется выгрузка пространства, то данная активность может говорить об экспорте чувствительных данных с веб-сервера атакующими или нелегитимной работе внутренних сотрудников.

Collection (TA0009)
Data from Information Repositories (T1213)
Confluence (T1213.001)

RV-D-1404

Множественные попытки входа на веб-сервер Confluence

Для входа в веб-сервер Confluence используются конечные точки login.action и dologin.action. Атакующие могут методом перебора постараться подобрать пароль к учетной записи.

Credential Access (TA0006)
Brute Force (T1110)
Password Guessing (T1110.001)

RV-D-1405

Эксплуатация уязвимости в Confluence - CVE-2023-22515

Уязвимость CVE-2023-22515 заключается в возможности перезапуска процесса настройки сервера, причем для этого даже не требуется аутентификация. Благодаря эксплуатации CVE-2023-22515 атакующий может получить возможность создания аккаунтов с правами администратора на уязвимом Confluence-сервере, а также иными привилегиями, доступными, если сервер находится в состоянии незавершенной установки.

Execution (TA0002)
Exploitation for Privilege Escalation (T1068)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)

RV-D-1406

Эксплуатация уязвимости в Confluence - CVE-2023-22527

Уязвимость Atlassian Confluence CVE-2023-22527 — это уязвимость инъекции OGNL (англ. Object-Graph Navigation Language), которая позволяет неавторизованным атакующим удаленно выполнять произвольные команды в уязвимом экземпляре Confluence. Эксплуатация уязвимости задействует файл шаблона Velocity с названием text-inline.vm.

Execution (TA0002)
Exploitation for Privilege Escalation (T1068)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)

RV-D-1407

Выполнение OGNL инъекции через Java-выражения в Confluence

Данное правило детектирует потенциальное выполнение OGNL-инъекции через Java-выражения в Confluence. В случае наличия у определенной версии Confluence уязвимых компонентов, отвечающих за вычисления выражений OGNL из Java команд, возможно удаленное выполнение кода. Одним из примеров такой уязвимости является CVE-2022-26134. Уязвимость CVE-2022-26134 является OGNL-инъекцией, вследствие которой после подгрузки вредоносного Java-запроса в параметры HTTP-запроса (любого, в том числе несуществующего) производится неправильная обработка запроса OGNL и происходит удаленное выполнение кода.

Execution (TA0002)
Exploitation for Client Execution (T1203)

RV-D-1408

Создание множества страниц Confluence

В Confluence существует функционал создания страниц. Атакующие, после аутентификации на веб-сервере Confluence могут использовать доступные им права для создания множества страниц. Это чревато такими последствиями, как перегрузка системы, заполнение хранилища, скрытие вредоносного контента и так далее.

Impact (TA0040)
Defacement (T1491)
Internal Defacement (T1491.001)
External Defacement (T1491.002)
Data Manipulation (T1565)
Stored Data Manipulation (T1565.001)

RV-D-1409

Отключение аудита журналов приложения Confluence

В Confluence существует функционал отключения модулей логирования непосредственно в веб-интерфейсе системы. При помощи данного функционала можно отключить основные логирующие компоненты log4j, отвечающие за логирование в Java-приложениях. Также в веб-интерфейсе можно отключить функционал ведения журнала SQL. Данная активность может затруднить расследование инцидента.

Defense Evasion (TA0005)
Impair Defenses (T1562)

RV-D-1410

Эксплуатация уязвимости в Confluence - CVE-2023-22518

CVE-2023-22518 — это уязвимость неправильной авторизации в конечных точках setup-restore*.action для Atlassian Confluence Data Center и Server. Уязвимости подвержены все версии до 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1. Атакующий может использовать эту уязвимость, отправляя запросы, содержащие необходимые параметры, к конечным точкам на экземпляре Confluence Data Center или Server. В результате атаки возможно полностью перезаписать содержимое атакуемого сервера Confluence на собственные данные, в том числе пересоздать учетную запись администратора, что может привести к потере контроля над сервером Confluence.

Execution (TA0002)
Exploitation for Privilege Escalation (T1068)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)

Была ли полезна эта страница?