Atlassian Confluence flaw actively exploited to install cryptominers
2021/09/02 BleepingComputer — 先日に公開された Atlassian Confluence のリモートコード実行の脆弱性をスキャンし、PoC エクスプロイトが公開された後に、クリプト・マイナーをインストールするという、ハッカーたちの積極的な悪用が検知されている。Atlassian Confluence は、企業の従業員たちがプロジェクトで共同作業を進めるための、とても人気のある Web ベースのチーム・ワークスペースである。
8月25日に Atlassian は、Confluence のリモートコード実行 (RCE) の脆弱性 CVE-2021-26084 に関するセキュリティ勧告を発表した。この脆弱性により、認証されていない攻撃者であっても、脆弱なサーバー上でリモートからのコマンド実行が可能になってしまう。
Atlassian の CVE-2021-26084 アドバイザリーでは、「OGNL (Object-Graph Navigation Language) インジェクションの脆弱性が存在し、認証されたユーザーや、認証されていないユーザーが、Confluence Server または Data Center のインスタンス上で、任意のコードを実行する可能性がある。修正バージョンより以前の、すべての Confluence Server および Data Center が、この脆弱性の影響を受ける」と説明している。Atlassian は、この脆弱性に対するパッチをリリースしており、ユーザーには長期サポート・リリースへのアップグレードを推奨している。
Confluence サーバーが積極的に悪用される
Atlassian がアドバイザリを公開してから6日後に、この脆弱性を説明する記事などを研究者たちが発表し、また、PoC エクスプロイトも公開された。この PHP PoC エクスプロイトは非常に使いやすく、成功すると対象となるサーバー上でコマンドを実行する。たとえば、攻撃者が、このコマンドを用いることで、Web Shell などのダウンロードや、悪用されたサーバー上でもプログラム起動などが可能になる。
これらの記事と PoC が公開された直後から、脅威アクターやセキュリティ研究者たちが、脆弱な Confluence サーバーを積極的にスキャンして悪用していることを、サイバーセ・キュリティ企業が報告し始めた。たとえば、Coalition の Director of Engineering である Tiago Henriques は、バグ・バウンティのために、脆弱性のある Confluence サーバーを見つけ出そうとしているペネトレーション・テスト担当者を検出している。
しかし、サイバーセキュリティ・インテリジェンス企業である Bad Packets は、複数の国々の脅威アクターたちがサーバーを悪用し、PowerShell や Linux のシェル・スクリプトをダウンロードして実行するという、より悪質な行為を確認している。BleepingComputer は Bad Packets が投稿した悪用のサンプルから、脅威アクターたちが Windows と Linux の Confluence サーバーに、クリプト・マイナーをインストールしようとしていることを確認した。
たとえば、ある攻撃者はスクリプトを利用して、Monero を採掘するための暗号通貨マイナー XMRig をインストールしている。また、BleepingComputer に掲載されている別の攻撃方法では、Linux サーバーに Kinsing マルウェアをダウンロードすることで、コインマイナーをインストールするというものもある。
現在の攻撃は、単に暗号通貨を採掘するための悪用だが、特に Confluence サーバーがオンプレミスでホストされている場合には、脅威アクターたちがより高度な攻撃に悪用する可能性が生じる。これらの攻撃には、ネットワークを介した横方向への拡散や、ランサムウェア攻撃、データ流出などが考えられる。Confluence サーバーを運用している組織は、可能な限り早急に、最新アップデートをインストールすることを強く推奨する。
Atlassian Confluence の OGNL (Object-Graph Navigation Language) インジェクションの脆弱性は、かなりの規模で悪用されているようで、米政府も警告という続報も出ています。いまは、暗号マイニングとバグ・バウンティのみで、大きな被害は実質的に出ていないようですが、ここまで出来るということは、もっと悪質なマルウェアやトロイの木馬を仕込むことも可能なわけです。なお、米政府の警告は、最新アップデートのインストールを、9月6日の月曜日まで待ってはならないというものでした。
IoT OT Security News 