Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用までの対応を詳述する

Actively Exploited Atlassian Zero-Day Bug Allows Full System Takeover

2022/06/04 DarkReading — UPDATE — Atlassian Confluence の深刻な脆弱性を悪用する攻撃が多発しており、サーバーが完全に乗っ取られる可能性があると、セキュリティ研究者たちが警告している。この脆弱性 CVE-2022-26134 は、未認証のリモート・コード実行を可能にするコマンド・インジェクションの問題であり、Confluence Server/Confluence Data Center のすべての現行バージョンに影響を及ぼす。Volexity による、2つのゼロデイ攻撃に関するフォレンジック調査では、特別に細工した Web リクエストを Confluence のシステムに送信するだけで、認証情報やユーザーの操作を必要とせずに、攻撃者による悪用が成功する可能性があるとのことだ。なお、Atlassian Cloud サイトに影響はない — UPDATE

Atlassian Confluence は、プロジェクト管理やチーム間のコラボレーションに使用され、リモートワークや企業ワークスペースを実現するための製品である。したがって、プロジェクト/特定ユーザー/パートナー/顧客などに関する機密データが格納されており、その他のリソース/サーバー/システムとも統合されるという傾向がある。そのため、このプラットフォームにおいて脆弱性の悪用に成功した攻撃者は、データを窃取するだけではなく、ランサムウェア攻撃の前段階としての企業ネットワークへの侵入が可能になる。

Volexity の研究者たちは、「この種の脆弱性を悪用する攻撃者たちは、機密性の高いシステムやネットワークへの直接のアクセスが可能になる」と指摘している。

研究者たちは、パッチが適用されるまでの間は、Atlassian Confluence サーバーへの外部アクセスを、直ちに削除するよう管理者に助言している。その一方で、Atlassian はアドバイザリで緊急の修正を実施すると述べ、2022年6月3日の営業終了時にはパッチを配布するとしている。同社の広報担当者は Dark Reading 対して、「脆弱な状況にある、すべての顧客に直接連絡を取り、修正について通知した」と述べている。

Atlassian Confluence へのゼロデイ攻撃

この調査で Volexity は、2つの事例における攻撃者たちの経路を追跡したが、どちらも同じだという結論にいたった。まず、この脆弱性を悪用してインタラクティブな Web シェルを作成 (悪意のクラス・ファイルをメモリに書き込む) した後に、ディスクには何も書き込むことなく、サーバーへの持続的なバックドア・アクセスを実現している。

さらに同社は、脅威者が Behinder インプラントをサーバー上にドロップしたことを確認している。Behinder は、メモリのみを必要とする Web シェルを作成するための、柔軟なオープンソース・ツールであり、さらにラテラル・ムーブメントに多用される2つのツール Meterpreter/Cobalt Strike との統合も可能である。

Meterpreter は、さまざまな Metasploit モジュール (既知のバグに対するエクスプロイト) を取得するきるものであり、また、Cobalt Strike はネットワーク上の新しいターゲットを探り、危険にさらすために、攻撃者が好んで使うペンテスト・ツールである。

Volexity は、Behinder をセットした敵対者が、さらに2つの Web シェルをディスクにインストールすることを発見した。それらは、China Chopper とカスタムなファイル・アップロード・シェルである。China Chopper は 10年前から存在するツールであり、クライアント側のアプリケーションを使って感染させた Web サーバへのアクセスを、攻撃者が保持するためのものである。このクライアントには、標的を制御するために必要な、すべてのロジックが含まれているため、非常に簡単に使用できる。

この基本的な感染設定を完了した攻撃者は、偵察 (OS のチェック/パスワード・リポジトリ検索) を目的としたコマンドを実行する。また、ローカルの Confluence データベースから情報やユーザーテーブルを盗むためのコマンドや、悪用の証拠を消すための Web アクセス・ログ変更のコマンドも実行していると、 Volexity は述べている。

Volexity は、2つのゼロデイ攻撃を検出したが、この活動はより広範囲に及んでいる可能性がある。研究者たちは、「現時点において、この脆弱性は複数の脅威アクターにより悪用されており、これらの攻撃者の出身国については、中国だと考えられる根拠がある」と述べている。

Confluence への侵害を阻止するには

パッチを適用する以外の最善の方法として、研究者たちは指摘しているは、Confluence Server/Confluence Data Center のインスタンスを無効化し、外部からのアクセスをすべて削除する方法と、IP アドレス・セーフリスト・ルールを使用して、信頼できるエンドポイントのみにアクセスを制限する方法である。

また、RCE インジェクションの脆弱性を防御する Java デシリアライゼーション・ルールを、WAF に追加することも可能だ。ただし、パッチの適用後においても、感染が持続する可能性があるため、侵害の兆候を発見することも重要である。

Tenable の Senior Staff Research Engineer である Satnam Narang は、「Web シェルに存在するという方式により、このような脆弱性のパッチが適用された後でも、感染したシステムへのアクセスを、攻撃者が維持するための能力が提供される。昨年に、ProxyShell の脆弱性が悪用された際にも、攻撃者が脆弱な Microsoft Exchange Server インスタンスに Web シェルを仕掛けるという、現象が確認されている」と指摘している。

しかし Volexity は「これらのシステムは、適切な監視やロギング機能がないため、調査が困難な場合が多い」と述べている。

Volexity の研究者たちは、次のようにアドバイスをしている。

  • インターネットに接続された Web サービスに、インシデント発生時に役立つ強固な監視機能とログ保存ポリシーが備わっていることを確認する。
  • インターネットに接続された Web サーバーから、SIEM または Syslog サーバーに関連するログファイルを送信する。
  • Web アプリケーション・プロセスの子プロセスににおける、不審なプロセスの有無を監視する (この場合、Python シェルが良い例である)。

これまでが序章であるとするなら、この件に関してはさらなる警戒が必要だろう。攻撃者にとって、Atlassian Confluence は魅力のあるターゲットであり、2021年の秋には CISA 警告を発するほど、別の RCE 脆弱性が大量に悪用された。

Narang は Dark Reading に対して、「現時点において、この脆弱性の悪用の詳細や概念実証は存在していないが、Confluence のような Atlassian 製品を、攻撃者が好んで標的にしていることは明らかだ。パッチが利用可能になるまで、緩和策を検討するよう、それぞれのユーザー組織に強く推奨している」と語っている。

Sevco Security の共同設立者である Greg Fitzgerald も、一般的なゼロデイ攻撃策を、積極的に取るよう組織に注意を促している。

Fitzgerald は、「このエクスプロイトに対して脆弱な組織は、一般的なパッチ管理プロセスで解決されるという、単純な考え方ではいけない。Atlassian がパッチをリリースすれば、ほとんどの組織にとって、それが最初のステップになるだろう。しかし、脆弱性のパッチは、自分が知っているシステムに対しては有効だが、大半の企業は攻撃対象領域の全体を把握していない。なぜなら、動的な環境において、正確な IT 資産のインベントリを維持することが非常に困難だからだ。脅威アクターたちは、そのことにとっくに気づいており、それを悪用するために24時間体制で活動している。

今回のような脅威と戦うための第一歩は、セキュリティ・プログラムの基礎的なコントロールとして機能する、すべての企業資産の継続的な更新と、正確なインベントリーを確立することだ」と述べている。

Atlassian Confluence のゼロデイ脆弱性 CVE-2022-26134 については、6月2日の「Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用前にハッカーが悪用」と、6月3日の「Atlassian Confluence のゼロデイ脆弱性 CVE-2022-26134:広範な悪用/攻撃が始まっている」でお伝えしています。すでにパッチもリリースされていますが、すぐに適用できない場合には、この記事に書かれている緩和策が有効だと思います。ただし、本文にある「脆弱性のパッチが適用された後でも、感染したシステムへのアクセスを、攻撃者が維持するための能力が提供される」という点が気になります。

%d bloggers like this: