米政府 警告:Atlassian Confluence の大規模な悪用が進行中

US govt warns orgs to patch massively exploited Confluence bug

2021/09/03 BleepingComputer — 今日、米国 US Cyber Command (USCYBERCOM) は、随所で悪用されている Atlassian Confluence の深刻な脆弱性に直ちにパッチを当てるよう、米国の各組織へ向けて異例の警告を発した。 Cyber National Mission Force (CNMF) は、「Atlassian Confluence CVE-2021-26084 の大規模な悪用は進行中であり、加速することが予想される」 と述べている。また、USCYBERCOM Unit は、脆弱な Confluence サーバーに対して、可能な限り早急にパッチを当てることが重要性だ。まだパッチを当てていない場合は、直ちにパッチを当てべきで、週末に済ませるべきだ」と述べている。

この警告は、木曜日にホワイトハウスで行われたプレス・ブリーフィングで、国家安全保障補佐官 (Deputy National Security Advisor) Anne Neuberger が「週末の休暇に先立ち、悪意のサイバー活動を警戒するように」と、各組織に呼びかけた後に出されたものだ。この種の警告は過去12ヶ月で2回目のことであり、前回となる6月の警告では、すべての VMware vCenter Server のインストールに影響する、リモートコード実行の脆弱性を悪用する脅威があることを、CISA が通知していた。

また、今日になって CISA も、ユーザーおよび管理者に対し、先日に発行された Atlassian Confluence のセキュリティ・アップデートを、直ちに適用するよう促している。Atlassian Confluence は、組織におけるプロジェクトを共同で進めるために設計された、Web ベースのチームワーク・スペースであり、きわめて人気が高い。8月25日 に Atlassian は、この脆弱性 CVE-2021-26084 は、認証されていない攻撃者が、脆弱なサーバー上でリモート・コマンド実行 (RCE) を引き起こすものだと説明し、対処するためのセキュリティ・アップデートを発行している。

今週に BleepingComputer が報じたように、Atlassian パッチが発行された6日後に PoC エクスプロイトが公開されている。その後、複数の脅威アクターたちが Confluence の RCE 脆弱性を悪用し、暗号マイナーをインストールし始めている。複数のサイバー・セキュリティ企業からの報告によると、脅威アクターとセキュリティ研究者が、パッチが適用されていない Confluence サーバーを積極的にスキャンしているようだ。

たとえば、Coalition の Director of Engineering である Tiago Henriques は、ペネトレーション・テスターが脆弱な Confluence サーバーを見つけ出そうとしているのを発見した。また、サイバー・セキュリティ企業の Bad Packets は、複数の国々の脅威アクターたちが、PowerShell や Linux シェル・スクリプトを、脆弱な Confluence サーバーに展開/起動しているのを発見した。

BleepingComputer が、エクスプロイト・サンプルを分析した結果、攻撃者がWindows および Linux の Confluence サーバーに、暗号マイナー (例:XMRig Monero 暗号通貨マイナー ) をインストールしようとするのを確認している。これらの攻撃者は、現時点では暗号通貨マイナーのみを行っているが、ハッキングしオンプレミス Confluence サーバーから、企業ネットワーク内を横方向へと移動し、ランサムウェア・ペイロードの投下や、データ流出などを仕掛けるようになれば、攻撃は急速にエスカレートする可能性がある。

昨日にポストした、「Atlassian Confluence の悪用は暗号マイニングの範囲に留まるか?」の続報です。どちらも BleepingComputer なので、なんとなく重複する部分もありますが、ご了承ください。Confluence サーバーに対する、積極的にスキャンがモニタリングされているので、このような警告が発せられたのでしょう。幸いなことに、いまのところ、暗号マイニング以外には、悪用の事例は発生していないようです。パッチ適用は、お早めに。

%d bloggers like this: