# CVE-2022-26134 > [!critical] RCE Zero-Day por OGNL Injection no Confluence - CVSS 9.8 - Exploração Massiva > Injeção OGNL crítica no Confluence Server e Data Center permite execução remota de código sem autenticação. Foi um dos zero-days mais explorados de 2022, com ataques globais massivos nos primeiros dias após divulgação. ## Visão Geral A [[cve-2022-26134|CVE-2022-26134]] é uma vulnerabilidade crítica de **OGNL (Object-Graph Navigation Language) Injection** no Atlassian Confluence Server e Data Center, que permite execução remota de código sem autenticação. Descoberta como zero-day explorado ativamente e divulgada em junho de 2022, a falha rapidamente se tornou uma das CVEs mais exploradas do ano. O Confluence é amplamente utilizado como wiki corporativo e plataforma de colaboração de equipes. Com a divulgação desta vulnerabilidade, múltiplos grupos de ameaça iniciaram varreduras massivas na internet em busca de instâncias vulneráveis, incluindo grupos de ransomware, cryptominers e APTs de espionagem como o [[g0064-apt33|APT33]] (iraniano). No Brasil, o Confluence tem penetração significativa em empresas de tecnologia, fintechs e grandes corporações que o utilizam como base de conhecimento corporativo. Muitas dessas organizações mantêm instâncias expostas à internet para acesso de equipes remotas, ampliando drasticamente a superfície de ataque. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | OGNL Injection - RCE sem autenticação | | Componente | Confluence OGNL expression evaluation | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | Zero-day explorado | Confirmado antes do patch | | Exploração massiva | Sim, automatizada em escala | ### Como Funciona O Confluence usa OGNL para avaliação de expressões em templates. A vulnerabilidade permite injetar expressões OGNL maliciosas via requisição HTTP que são executadas no contexto do servidor: ``` GET /${Class.forName("java.lang.Runtime").getMethod("exec","".class).invoke(...)} HTTP/1.1 ``` Isso resulta em execução de código arbitrário com as permissões do processo Confluence (frequentemente root ou usuário de serviço). ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Confluence exposto | | [[t1505-003-web-shell\|T1505.003]] | Web shell implantado pós-RCE | | [[t1059-004-unix-shell\|T1059.004]] | Reverse shell para C2 | | [[t1083-file-and-directory-discovery\|T1083]] | Coleta de dados corporativos do Confluence | ## Detecção e Defesa **Mitigações:** - Aplicar patch do Atlassian imediatamente (versão 7.4.17, 7.13.7, 7.14.3, etc.) - [[m1051-update-software\|M1051]] - Patch emergêncial para todas as instâncias Confluence - Bloquear acesso externo enquanto aplica o patch se não for possível atualizar imediatamente - Monitorar requisições HTTP com expressões OGNL nos logs do Confluence **Workaround temporário:** Bloquear requisições contendo `${` e `%{` nas URLs via WAF ou proxy reverso. > [!latam] Relevância para Brasil e LATAM > Empresas brasileiras de tecnologia, startups e fintechs frequentemente expõem o Confluence à internet para acesso de equipes distribuídas e parceiros. Esta CVE foi explorada por cryptominers, ransomware e APTs em questão de horas após divulgação. Instâncias brasileiras não patcheadas foram confirmadas como comprometidas por botnets de mineração de criptomoedas e grupos de acesso inicial. ## Referências - [Atlassian Security Advisory 2022-06-02](https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1185867071.html) - [NVD - CVE-2022-26134](https://nvd.nist.gov/vuln/detail/CVE-2022-26134) - [Rapid7 Analysis](https://www.rapid7.com/blog/post/2022/06/02/active-exploitation-of-confluence-CVE-2022-26134/)