Atlassian Confluence のゼロデイ脆弱性 CVE-2022-26134:広範な悪用/攻撃が始まっている

Atlassian fixes Confluence zero-day widely exploited in attacks

2022/06/03 BleepingComputer — Atlassian は、Confluence Server/Data Center のゼロデイ脆弱性に対してセキュリティ・アップデートを公開し、インターネットに露出しているサーバーがバックドアとして悪用される問題に対処した。このゼロデイ脆弱性 CVE-2022-26134 は、Confluence Server/Data Center の全ての現行バージョンに影響し、認証されていない攻撃者に対して、未パッチ・サーバー上でのリモート・コード実行を許す可能性がある。

また、積極的に悪用されているバグとして公開されたことで、CISA による Known Exploited Vulnerabilities Catalog への追加が実施され、Confluence サーバーへの全インターネット・トラフィックを遮断するよう、連邦政府機関は要求されていた。

現時点において、同社はパッチを公開しており、この不具合を修正したバージョン 7.4.17/7.13.7/7.14.3/7.15.2/7.16.4/7.17.4/7.18.1 へのアップグレードが、すべての顧客に推奨されている。Atlassian は、「Confluence の新バージョンには、他にもいくつかのセキュリティ修正が含まれているため、アップグレードを強く推奨する」と述べている。

また、Confluence を直ちにアップグレードできない管理者は、CVE-2022-26134 のセキュリティ・バグを緩和するために、Confluence サーバー上のいくつかの JAR ファイルを更新し、ここにある説明に従い、一時的に回避することも可能とされる。

現在進行中の攻撃で広く悪用されている

この脆弱性は、サイバーセキュリティ企業である Volexity が、休日に実施したインシデント対応の中で発見したものだ。このインシデントを分析した Volexity は、このゼロデイ脆弱性を悪用する攻撃者が、BEHINDER JSP Web シェルをインストールし、感染させたサーバー上でリモート・コード実行を可能にしていたことを発見した。

また、脅威者たちはハッキングしたサーバへのアクセスを維持するために、バックアップとして China Chopper Web シェルと、シンプルなファイル・アップロード・ツールを配備していた。

Volexity は、攻撃に使われた IP アドレスのリストを公開し、また、侵入された可能性のある Confluence サーバーの、Web シェル活動を特定するための Yara rules の一部も公開している。

今日、Volexity の CEO である Steven Adair は、「かなり広範囲に及ぶ業界/業種が対象であり、組織的に搾取が行われる自由参加の競争となっている。複数の脅威グループやハッカーたちが、このエクスプロイトを保有し、さまざまな方法で悪用していることは明らかだ。ずさんな攻撃もあれば、緻密な攻撃もある。クラス・ファイルをメモリにロードする方式や、JSP シェルを記述する方式が、これまで見てきた中の主流である」と明らかにした

2021年9月にも同様に、Atlassian Confluence におけるリモート・コード実行の脆弱性の、PoC エクスプロイトがオンラインで公開された直後に、クリプト・マイニング・マルウェアをインストールするための悪用が始まっていた

この Atlassian Confluence の脆弱性 CVE-2022-26134 ですが、昨日の「Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用前にハッカーが悪用」でも概要が紹介されています。どちらも、Volexity の報告を基にしているようですが、悪用が難しい脆弱性ではなく、また、攻撃に成功した場合の影響力が大きいという、攻撃者が最も好む状況になっているようです。

%d bloggers like this: