Atlassian Confluence の脆弱性 CVE-2021-26084:トロイの木馬が見つかった

Threat actors use recently discovered CVE-2021-26084 Atlassian Confluence

2021/09/30 SecurityAffairs — Trend Micro の研究者たちは、最近公開された重要なリモートコード実行の脆弱性が、積極的に悪用されるという暗号マイニング・キャンペーンを発見した。8月末に Atlassian は、企業向けコラボレーション製品 Confluence に影響を与える、重大な 脆弱性 CVE-2021-26084 に対応するセキュリティ・パッチを公開している。

この脆弱性は、OGNL インジェクションの問題であり、影響を受ける Confluence Server および Data Center インスタンス上で、認証された攻撃者が任意のコードを実行さする可能性がある。

同社が公開したアドバイザリには、「OGNL (Object-Graph Navigation Language) インジェクションの脆弱性が存在し、認証されたユーザーや、場合によっては認証されていないユーザーが、Confluence Server または Data Center のインスタンス上で任意のコードを実行する可能性がある」と、記載されている。この問題は、Atlassian のバグバウンティ・プログラムを通じて、Benny Jacob (SnowyOwl) により発見されたものであり、CVSSスコアは 9.8 である。

影響を受けるバージョンは・・・

• version < 6.13.23
• 6.14.0 ≤ version < 7.4.11
• 7.5.0 ≤ version < 7.11.5
• 7.12.0 ≤ version < 7.12.5

攻撃者は、悪意のパラメーターを含む細工された HTTP リクエストを、脆弱なインストール先に送信するだけで、この問題を引き起こすことができる。

Atlassian のエンタープライズ・コラボレーション製品である Confluence に存在する脆弱性 CVE-2021-26084 は、同社がパッチを適用した数日後から、脅威アクターによる悪用が始まっている。また、米国 USCYBERCOM は国内の組織に対して、Atlassian Confluence の 脆弱性 CVE-2021-26084 に対して、直ちに対処するよう警告を発した。さらに、脅威情報会社 Bad Packets の研究者たちは、上記の RCE 脆弱性が存在する Atlassian Confluence サーバーを標的とした、大量のスキャンとエクスプロイト活動を検出した。

今回、Trend Micro の研究者たちは、この脆弱性の技術的詳細を共有し、z0Miner を配布する暗号通貨マイニング・キャンペーンのレポートを公開した。Trend Micro は、「最近、私たちは、暗号通貨採掘トロイの木馬 z0Miner が、8月にAtlassian が公開した CVE-2021-26084 であるリモートコード実行の脆弱性が、Confluence 上で悪用されていることを発見した。暗号通貨市場の人気が高まっていることから、z0Miner のようなトロイの木馬の背後にいる不正プログラムの作者は、システム内の足場を得るために使用するテクニックやエントリー・ベクターを、常に更新していると予想される」と述べている。

この脆弱性の悪用に成功すると、z0Miner は一連の悪意のファイルをダウンロードする Web シェルを展開する。この不正プログラムは、検出を回避し、感染したシステムの持続性を得るための、いくつかのメカニズムを使用している。Trend Micro の報告によると、このマイナーは Hyper-V Guest Integration という正規の統合サービスを装って、vmicvguestvs.dllというファイルをインストールする。

専門家たちは、このような攻撃を防ぐために、システムやアプリケーションに対して、定期的に最新のパッチを更新することを推奨している。Trend Micro は、Atlassian Confluence の不具合を悪用した z0Miner キャンペーンについて、MITRE ATT&CK Tactics and Techniques and Indicators of Compromise を公開している。

この Atlassian Confluence の脆弱性 CVE-2021-26084 に関しては、以前にも「Atlassian Confluence の悪用は暗号マイニングの範囲に留まるか?」と、「米政府 警告:Atlassian Confluence の大規模な悪用が進行中」をポストしています。その後の Trend Micro の調査で、z0Miner というトロイの木馬が見つかった、ということなのでしょう。

%d bloggers like this: