Barracuda 調査:Atlassian と Azure の リモートコード実行の脆弱性が狙われている

Barracuda Networks Sees Rise in RCE Attacks

2021/10/13 SecurityBoulevard — 今日、Barracuda Networks が発表したレポートによると、8月から9月にかけての45日間に、Atlassian Confluence Wiki サービスと、Microsoft Azure クラウドで見つかったリモートコード実行 (RCE) の脆弱性を悪用しようとする、500 個以上のユニークな IP アドレスからの攻撃が急増したという。

この攻撃は、Atlassian Confluence に見つかった OGNL (Object-Graph Navigation Language) インジェクションの脆弱性と、オープンソースの OMI (Open Management Infrastructure) 仕様に基づく共通情報モデルの実装ににおける脆弱性を狙ったものだ。

Barracuda Networks の Inside Engineer for Application Security である Marcus Gower によると、いずれのケースにおいても、エンドポイントにアクセスしたサイバー犯罪者が、認証ヘッダを必要とせずに、HTTP リクエストを介してコマンドを実行しようとしていた。通常、このリクエストに対するレスポンスは、401 Unauthorized ページとなる。しかし、その時のユーザーが root 権限でコマンドを実行することができれば、この脆弱性を容易に悪用することができると、Gower は指摘している。

この9月に Atlassian は、Confluence における OGNL インジェクションの脆弱性の存在を明らかにした。この脆弱性により、サイバー犯罪者は Confluence のテンプレートエンジンを使って、authorization ヘッダを付けずに POST リクエストを実行できる状況にあった。つまり、脅威アクターはシステムへの root アクセスを許可されることになり、queryString および linkCreation というパラメータを使用して、Java コードを注入できる。

その一方で、9月には Microsoft が、Azure に存在する脆弱性を明らかにした。Azure の顧客は、システムを最新版の OMI にアップデートするまで危険にさらされる。攻撃者が送信したコマンドは、SCXcore サービスにより実行されてしまう。通常では、OMI サーバーが承認ヘッダをつけることで、それぞれのコマンドは信頼される。しかし、承認ヘッダのないコマンドがマシンに受け渡され、サイバー犯罪者に対してプラットフォームへの root アクセスを許すことになる。

Barracuda の研究者たちは、この脆弱性を悪用しようとする攻撃者の数が、秋口から急増したことを確認している。9月18日に最初の急増があった後に、攻撃を試みる数は減少したが、攻撃後の侵害は急増し続け、その後に、時間の経過とともにバランスをとっていることが判明している。

Marcus Gower は、WAF により、この攻撃を阻止できた可能性があると述べている。そして、多くの IT チームは、IT 環境を保護するためには、WAF を導入するだけで良いと考えている。しかし、COVID-19 パンデミック受けて、リモートワーカーが増えたことで、RCE の悪用を検知することが難しくなっていると、Gower は指摘する。

あらゆるタイプの WAF を導入している IT 組織の数は、まだ少ないという現状がある。しかし、アプリケーション・セキュリティの責任を、開発者に移すという DevSecOps のベスト・プラクティスを採用する組織が増えれば、いまよりは WAF の必要性が深く理解されるかもしれない。

しかし、現在のところ、たとえばクラウド・サービス・プロバイダーが、自分たちに代わってアプリケーションのセキュリティを確保してくれると思い込んでいる開発者が、あまりにも多いのという現状がある。

今後、数週間から数ヶ月の間に、ソフトウェア・サプライチェーンに対する侵害事件が生じ、ほとんどの組織は何らかの形で、アプリケーション・セキュリティを再検討することになるかもしれない。問題となるのは、いつものように、セキュリティ強化の必要性と、適切なツールとプラットフォームのコストとの、バランスを取ることだ。

Atlassian Confluence と Microsoft Azure の、リモートコード実行の脆弱性を狙う動きが活発化しているようです。すでに、攻撃の起点として機能している IP アドレスが 500個とのことですので、本格的なキャンペーンと言っても良い状況ですね。Barracuda の Threat Spotlight: Remote code execution vulnerabilities ですが、この攻撃をチャートで分かり易く説明しています。

%d bloggers like this: