CVE-2019-3396 — Atlassian Confluence “Widget Connector” RCE

TL;DR

W Atlassian Confluence (Server/Data Center) luka CVE‑2019‑3396 w makrze Widget Connector pozwala zdalnemu, nieuwierzytelnionemu napastnikowi na RCE poprzez Server‑Side Template Injection (Velocity) i path traversal. W praktyce ataki często uderzają w endpoint /rest/tinymce/1/macro/preview i prowadzą do dropu web‑shella i uruchamiania powłoki systemowej przez proces Javy/Tomcata. Mitygacja: natychmiastowy upgrade do wersji naprawczych (≥ 6.6.12, 6.12.3, 6.13.3, 6.14.2 lub nowsze), ewentualnie tymczasowe wyłączenie wtyczki Widget Connector; Confluence Cloud nie jest podatny. Mapowanie do ATT&CK: przede wszystkim T1190, a dalej typowo T1059 (Interpreter poleceń) i T1505.003 (Web shell).

Krótka definicja techniczna

CVE‑2019‑3396 to błąd w komponencie Widget Connector Confluence powodujący server‑side template injection (Velocity Template), umożliwiający path traversal i ostatecznie zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Błąd dotyczy wersji Server/Data Center poniżej wydań naprawczych; Confluence Cloud nie jest narażony.

Gdzie występuje / przykłady platform

• Linux/Windows: Confluence Server/Data Center hostowany na Tomcat/Java (instalacje on‑prem/VM/bare‑metal).
• Reverse proxy/WAF: NGINX/Apache/ALB/WAF przed Confluence — logi tych warstw są najważniejsze do detekcji. [Źródła ogólne — patrz sekcja 6/7]
• Kubernetes/K8s/ESXi: Confluence wdrożone w kontenerze/na VM (artefakty w logach kontenerów i audycie K8s). [Źródła ogólne — patrz sekcja 6/12]
• Chmury (AWS/Azure/GCP): Same API chmurowe nie są wektorem tej luki, ale logi ALB/WAF/Front Door pomagają identyfikować próby eksploatacji. [Źródła ogólne — patrz sekcja 7]

Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)

Błąd znajduje się w makrze Widget Connector odpowiedzialnym za osadzanie treści (np. wideo) na stronach Confluence. Przez niewłaściwą walidację parametrów napastnik może wstrzyknąć szablon Velocity i/lub skorzystać z path traversal do wczytania niezamierzonych plików szablonów, co kończy się wykonaniem arbitralnego kodu w kontekście procesu Confluence (Java/Tomcat). Typowy wektor żądań obserwowany był na endpointzie /rest/tinymce/1/macro/preview (metoda POST) z nietypowymi polami (np. _template) — legalne użycie nie powinno ich zawierać. Po skutecznej eksploatacji napastnicy często zrzucają web‑shelle i uruchamiają powłokę systemową, a następnie pobierają narzędzia (T1105) i przechodzą do ruchów bocznych. Zależnie od środowiska obserwuje się kampanie z ransomware (np. GandCrab) i kryptominery po udanym RCE, a także wykorzystanie przez grupy APT (np. APT41).

Wersje i statusy: Atlassian wydał łatki 20 marca 2019 r. (m.in. 6.6.12, 6.12.3, 6.13.3, 6.14.2). Confluence Cloud nie jest podatny. Jako obejście do czasu aktualizacji zalecano wyłączenie Widget Connector (oraz WebDAV dla innej luki CVE‑2019‑3395).

Artefakty i logi

ŹródłoCo szukaćPrzykładowe pola / EIDUwaga

HTTP reverse proxy / web server (NGINX/Apache/ALB/WAF)	POST do */rest/tinymce/1/macro/preview*; obecność "_template" lub wzorca traversal ../, nagły wzrost 4xx/5xx	cs-method, cs-uri-stem, request, http.request.body.content, status	W wielu raportach ten endpoint pojawiał się w eksploatacji.
Confluence/Tomcat	W atlassian-confluence.log/catalina.out: błędy Velocity, stacktrace’y, nietypowe wyjątki w momencie żądań	Tekst surowy	Koreluj z czasem żądań HTTP.
Windows	Procesy potomne od java.exe/usługi Confluence: cmd.exe, powershell.exe, narzędzia sieciowe	Security 4688, Sysmon 1/3/11	Spawn powłoki spod Javy jest anomalią dla Confluence.
Linux	java → /bin/bash//bin/sh/curl/wget/nc; nowo utworzone pliki w katalogu aplikacji/WEB-INF	auditd: type=EXECVE, Sysmon‑for‑Linux EID 1/3/11	Sprawdzaj użytkownika usługi (np. confluence).
K8s audit (jeśli Confluence w kontenerze)	verb: create/get na pods/exec; podejrzane kubectl exec do podów z Confluence	kubernetes.audit.verb, objectRef.subresource=="exec"	Polityka audytu K8s rejestruje pods/exec (GET/CREATE).
AWS WAF/ALB (CloudWatch Logs)	Wzorce żądań jak wyżej	requestUri, httpRequest.uri	CloudTrail tu nie pomoże — to ruch L7, nie API.
M365	[nie dotyczy]	—	Brak bezpośrednich artefaktów.
CISA/NSA/CTI	Wzmianki o kampaniach, IOC	—	Wskazywane jako powszechnie eksploatowane.

Detekcja (praktyczne reguły)

Sigma — próba eksploatacji w logach HTTP (web/proxy)

title: Confluence CVE-2019-3396 Macro Preview Exploit Attempt id: 1e2a2c9a-2b3d-4c4d-9d66-3396cve-http status: experimental description: Wykrywa podejrzane POST do /rest/tinymce/1/macro/preview z parametrem _template i traversal. logsource: category: webserver detection: sel_path: cs-uri-stem|contains: "/rest/tinymce/1/macro/preview" sel_method: cs-method: POST sel_body_a: request|contains: "_template" sel_body_b: request|contains: - "../" - "web.xml" - ".vm" condition: sel_path and sel_method and sel_body_a and sel_body_b fields: - src_ip - dest_ip - user_agent - cs-uri-stem - request falsepositives: - Bardzo mało prawdopodobne (parametr _template nie jest używany w legalnym ruchu). level: high tags: - attack.T1190

(wzorzec oparty o publiczne opisy wektora żądań i szablonu skanera; dopasowania do _template i traversal minimalizują FP).

Sigma — potomne procesy spod Confluence (Windows+Linux)

title: Confluence Spawns Shell/LOLBins (Post-Exploitation) id: 84a3b92d-7f6f-42a1-bdb6-confluence-child-proc status: experimental logsource: category: process_creation detection: parent_java: ParentImage|endswith: - '\java.exe' - '\tomcat*.exe' ParentCommandLine|contains: - 'atlassian-confluence' child_shells: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '/bash' - '/sh' - '/curl' - '/wget' - '/nc' condition: parent_java and child_shells level: high tags: - attack.T1059 - attack.T1505.003 fields: [Image, ParentImage, CommandLine, ParentCommandLine, User, Hostname]

Splunk (SPL) — warstwa HTTP

(index=proxy OR index=web OR sourcetype=aws:alb:accesslogs OR sourcetype=nginx OR sourcetype=apache) "POST" "/rest/tinymce/1/macro/preview" | search _raw="*_template*" (_raw="*../*" OR _raw="*web.xml*" OR _raw="*.vm*") | stats count by src_ip, uri_path, user_agent, status | where count > 1

Splunk (SPL) — potomne procesy spod Javy/Tomcata

index=sysmon (EventCode=1 OR EventCode=4688) (ParentImage="*\\java.exe" OR ParentCommandLine="*atlassian-confluence*") (Image="*\\cmd.exe" OR Image="*\\powershell.exe" OR Image="*/bash" OR Image="*/sh" OR Image="*/curl" OR Image="*/wget" OR Image="*/nc") | table _time host User ParentImage Image CommandLine ParentCommandLine

KQL — Microsoft Defender for Endpoint (procesy)

DeviceProcessEvents | where (InitiatingProcessFileName =~ "java.exe" or InitiatingProcessCommandLine has "atlassian-confluence") | where FileName in~ ("cmd.exe","powershell.exe","bash","sh","curl","wget","nc") | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine, AccountName

KQL — Azure Application Gateway WAF / Front Door (HTTP)

AzureDiagnostics | where Category in ("ApplicationGatewayFirewallLog","FrontDoorAccessLog") | where requestUri_s has "/rest/tinymce/1/macro/preview" | where requestUri_s has "_template" and (requestUri_s has "../" or requestUri_s has "web.xml" or requestUri_s has ".vm") | project TimeGenerated, clientIp_s, requestUri_s, httpStatus_d, userAgent_s

AWS — CloudWatch Logs Insights (ALB/WAF; CloudTrail nie dotyczy tej luki)

fields @timestamp, @message | filter @message like /POST \\/rest\\/tinymce\\/1\\/macro\\/preview/ | filter @message like /_template/ and (@message like /\\.\\.\// or @message like /web\\.xml/ or @message like /\\.vm/) | sort @timestamp desc

Elastic / EQL — procesy

process where process.parent.executable : ("*java*", "*tomcat*") and process.name : ("cmd.exe","powershell.exe","bash","sh","curl","wget","nc")

Heurystyki / korelacje (co łączyć)

• Korelacja czasowa: (1) POST do …/macro/preview z _template → ą30 s → (2) java/Tomcat spawnuje powłokę/LOLBIN → (3) wywołania sieciowe z hosta Confluence (curl/wget/nc).
• Ścieżki i rozszerzenia: nowo utworzone pliki .jsp, .jspx, .vm, nietypowe w katalogach Confluence/WEB-INF/attachments.
• Anomalie HTTP: wzrost 4xx/5xx dla /rest/tinymce/1/macro/preview, nietypowe UA, brak CSRF‑tokenów, nienaturalna objętość POST.
• K8s: zdarzenia pods/exec na podzie z Confluence w oknie ą5 min od wzorca HTTP.

False positives / tuning

• Legalne podglądy makr nie używają parametru _template; warunek obecności _template + ../ znacząco ogranicza FP.
• Zdarza się, iż administracja/backup tworzy procesy potomne (skrypty konserwacyjne) — whitelista po ścieżkach, podpisie, hashach i planach crona.
• Ustal baseline dla ruchu do endpointu /rest/tinymce/1/macro/preview (kto edytuje strony, kiedy), a alertuj odchylone UA/IP/ASN.

Playbook reagowania (kroki + komendy)

Triage & izolacja

1. Odłącz Confluence od Internetu/DMZ (lub włącz tryb tylko‑do‑odczytu, jeżeli to jedyna wiedza bazowa).
2. Zbierz logi: reverse proxy, atlassian-confluence.log, catalina.out, systemowe, WAF/ALB.

Szybkie sprawdzenia na hoście (bezpieczne polecenia administracyjne):

• Linux # proces + drzewo ps -ef | egrep 'confluence|tomcat|java' pstree -ap | egrep 'java|tomcat' # ostatnie podejrzane pliki w instalacji i HOME Confluence find /opt/atlassian /var/atlassian -type f -mmin -60 -printf "%TY-%Tm-%Td %TH:%TM %p\n" | sort # ślady ruchu wychodzącego z procesu java sudo lsof -nP -p "$(pgrep -f 'atlassian|confluence|tomcat|java' | tr '\n' ',')" | egrep 'TCP|UDP' # grep wzorca endpointu w logach grep -R "/rest/tinymce/1/macro/preview" /opt/atlassian/confluence/logs /var/log/nginx 2>/dev/null
• Windows (PowerShell jako Administrator) Get-Process java,Tomcat* -IncludeUserName Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object { $_.Id -eq 1 -and $_.Message -match "java.exe" -and $_.Message -match "(cmd.exe|powershell.exe)" } | Select-Object TimeCreated, Id, Message Get-ChildItem "C:\Program Files\Atlassian\Confluence\" -Recurse | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }

Eradykacja i przywracanie

• Aktualizacja Confluence do wersji naprawczych; o ile to niemożliwe, wyłącz plugin Widget Connector jako obejście (tymczasowe).
• Przeskanuj pod kątem web‑shelli, skryptów .jsp/.jspx/.vm, sprawdź sumy kontrolne binariów.
• Rotacja haseł i sekretów używanych na serwerze aplikacyjnym, w tym integracji (LDAP/DB).
• Ocena lateral movement (kontrolery domeny, serwery plików, jump‑hosty).

Przykłady z kampanii / case studies

• Ransomware GandCrab — obserwowano drop ransomware po eksploatacji CVE‑2019‑3396.
• Kryptominery z rootkitem — Trend Micro opisało łańcuch: CVE‑2019‑3396 → kryptominer + rootkit.
• Wykorzystanie przez aktorów APT — APT41 wymieniany w kontekście tego CVE i techniki T1190.
• Ujęcie rządowe — CISA/NSA klasyfikowały CVE‑2019‑3396 jako powszechnie eksploatowaną lukę; zalecenia wykrywania web‑shelli.

Lab (bezpieczne testy) — przykładowe komendy

Cel: Walidacja reguł detekcyjnych bez atakowania podatnych systemów.

1. Test pipeline’u logów HTTP
   • Na serwerze testowym (np. lokalny NGINX, nie Confluence) wygeneruj sztuczne wpisy zawierające wzorzec: logger 'POST /rest/tinymce/1/macro/preview HTTP/1.1 ... {"_template":"../web.xml"}'
   • Upewnij się, iż Twoje źródło logów (Filebeat/Fluentd/Splunk UF) przesyła to do SIEM.
   • Sprawdź, czy reguła Sigma/Splunk/KQL podnosi alert (FP=0).
2. Test korelacji hostowej
   • Na hoście testowym uruchom „fałszywy” łańcuch procesów: # symulacja: java (rodzic) -> bash (dziecko) (sleep 5; /bin/bash -c 'echo test') & (lub uruchom minimalny proces Java, który spawnuje bash, tylko w środowisku labowym; celem jest sprawdzenie, czy korelacja Parent=java → Child=shell działa).
   • Zweryfikuj, iż reguła procesowa łapie zdarzenie.

Mapowania (Mitigations, powiązane techniki)

Mitigations (ATT&CK):

• M1051 — Update Software (regularne patchowanie aplikacji webowych).
• M1048 — Application Isolation and Sandboxing (izolacja procesów serwera www/aplikacji).
• M1037 — Filter Network Traffic / M1030 — Network Segmentation (DMZ dla serwerów publicznych, WAF).
• M1016 — Vulnerability Scanning (ciągłe skanowanie i zarządzanie podatnościami).

Powiązane techniki ATT&CK:

• T1190 — Exploit Public‑Facing Application (wektor wejściowy dla CVE‑2019‑3396).
• T1059.003/.004 — Command & Scripting Interpreter (Windows/Unix Shell) — powłoka po RCE.
• T1505.003 — Web Shell — utrwalenie i sterowanie przez web‑shell.
• T1105 — Ingress Tool Transfer — pobieranie narzędzi po udanym RCE.

Źródła / dalsza literatura

• Atlassian: Confluence Security Advisory — 2019‑03‑20 (wersje podatne, obejścia, fixy).
• NVD: CVE‑2019‑3396 — opis luki (SSTI/Traversal/RCE).
• Atlassian JIRA: CONFSERVER‑57974 — opis problemu „Remote code execution via Widget Connector macro”.
• Rapid7: Confluence Unauthorized RCE Vulnerability (CVE‑2019‑3396).
• Trend Micro: Exploitation delivers cryptocurrency miner + rootkit. (opis)
• Alert Logic: Active exploitation — GandCrab.
• NSA (PDF): PATCH CRITICAL VULNERABILITY IN ATLASSIAN CONFLUENCE.
• MITRE ATT&CK: T1190 (wersja 2.8, last modified 2025‑10‑24), T1059, T1505.003, T1105.
• MITRE ATT&CK — APT41 (G0096) — wzmianka o wykorzystywaniu CVE‑2019‑3396.
• Nuclei (ProjectDiscovery) — sygnatura wykrywająca wzorzec żądania do macro/preview (przydatna referencja do detekcji, nie do eksploatacji).

Checklisty dla SOC / CISO

SOC (operacyjne)

• Alerty na POST do …/macro/preview + _template + ../ (HTTP).
• Korelacja: HTTP → java/tomcat spawnuje cmd/bash w ≤60 s.
• Polowanie na web‑shelle (*.jsp, *.jspx, *.vm) w katalogach Confluence/WEB-INF.
• Monitoring ruchu wychodzącego z hosta Confluence (curl/wget/nc/certutil).
• K8s: alerty na pods/exec do podów z Confluence.

CISO / właściciel usługi

• Patch: utrzymuj Confluence na wersji ≥ 6.6.12/6.12.3/6.13.3/6.14.2/6.15.x+.
• WAF/segregacja: DMZ, WAF reguły dla macro/preview, rate‑limit.
• Zarządzanie podatnościami: regularne skany, SLA na krytyczne poprawki.
• Hardening: uruchamiaj Confluence z kontem o najmniejszych uprawnieniach, bez powłoki logowania.
• IR readiness: gotowe playbooki i kopie zapasowe, rotacja sekretów po incydencie.