Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用前にハッカーが悪用

Hackers Exploiting Unpatched Critical Atlassian Confluence Zero-Day Vulnerability

2022/06/02 TheHackerNews — Atlassian が発した警告は、Confluence Server/Data Center に影響をおよぼすリモート・コード実行の脆弱性に関して、パッチ適用前のシステムが数多く存在し、それらが活発に悪用されているというものだ。 オーストラリアに本拠を置く Atlassian は、サイバーセキュリティ会社 Volexity が、脆弱性 CVE-2022-26134 を特定したことの功績を認めている。

Atlassian はアドバイザリーにおいて、「Confluence の Data Center/Server において、未認証のリモート・コード実行の脆弱性が、活発に悪用されているという深刻な事態を認識している。現時点において、Confluence Server/Data Center の修正バージョンは提供されていない。Atlassian は、最優先で修正版をリリースするよう取り組んでいる」と説明している。なお、この脆弱性の具体的な内容は、ソフトウェア・パッチが提供されるまで伏せられている。

Confluence Server/Data Center の、すべての現行バージョンが影響を受けるが、エンタープライズ・ソリューションにおいても、すべてのバージョンが潜在的に脆弱であると予想されている。ただし、最も早い時期に影響を受けるバージョンは、まだ判明していない。

修正版が入手できるまでの間、Confluence Server/Data Center インスタンスについて、インターネット接続の制限もしくは、完全な無効化を検討するよう、Atlassian は顧客に呼びかけている。また、”${” を含む URL をブロックする WAF ルールを実装し、リスクを軽減することも推奨されている。

Volexity は独自の情報開示の中で、米国の休日に発生したインシデント ・レスポンス調査の一環として、この活動を検知したと述べている。この攻撃では、Atlassian のゼロデイ脆弱性 (コマンド・インジェクション) が悪用され、サーバー上で認証なしのリモート・コードが実行され、それを足がかりにした脅威アクターが、Behinder の Web シェルをドロップするという一連の流れが発生した。

研究者たちは、「Behinder は、メモリでのみ動作する Web シェルや、Meterpreter/Cobalt Strike との対話のサポートといった、きわめてパワフルな機能を攻撃者に提供する。ただし、永続性は持たないため、リブートやサービスの再起動で一掃されることになる」と述べている。

その後に、この Web シェルは、China Chopper やリモートサーバーへ向けて、任意のファイルを流出させるカスタム・ファイル・アップロード・シェルなどの、2つの追加の Web シェルをディスクに展開するための導線として機能するようだ。

Atlassian Confluence における、別のリモート・コード実行の脆弱性 (CVE-2021-26084 CVSS :9.8) が、感染させたサーバーに暗号通貨マイナーをインストールするために野放し状態になっていたが、それから1年も経たないうちに、このエクスプロイトの開発は行われている。

Volexity は、「この種の脆弱性を悪用することで、攻撃者は機密性の高いシステムやネットワークに対して直接にアクセスできる。さらに、それらのシステムには、適切な監視やログ機能がないため、調査が困難な場合が多い」と述べている。

Atlassian Confluence 脆弱性 CVE-2022-26134 ですが、お隣のキュレーションチームに聞いてみたところ、6月7日にレポートしているようであり、その CVSS 値については NVD が 9.8 と評価しているようです。また、packetstorm が PoC エクスプロイトを提供しているようなので、攻撃側/防御側は臨戦態勢ですね。Jira の脆弱性 CVE-2022-0540 が FIX したと思ったら、クラウドで障害が発生してしまった Atlassian ユーザーは、このところ御難続きですね。

%d bloggers like this: