Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害

Linux botnets now exploit critical Atlassian Confluence bug

2022/06/08 BleepingComputer — Atlassian の Confluence Server/Data Center に存在するリモートコード実行 (RCE) 脆弱性を、複数のボットネットが狙っており、パッチが適用されていない Linux サーバーへの感染が広まっている。この脆弱性 CVE-2021-26084 の悪用に成功した未認証の攻撃者は、新たな管理者アカウントを作成し、コマンドを実行し、インターネットに公開されたサーバーを乗っ取り、最終的にはバックドアとしてリモート操作することが可能となる。

CVE-2021-26084 の PoC エクスプロイトがオンラインで公開された後に、サイバーセキュリティ企業である GreyNoise は、それを悪用しようとする IP アドレスが、23件から200件以上へと、約10倍に増加していることを検出したと述べている。

Lacework Labs の研究者たちは、脆弱な Linux サーバーを標的とし、バックドアやクリプトマイナーを展開することで知られる、Kinsing/Hezb/Dark.IoT として追跡される3つのボットネットを発見した。

過去においても Kinsing は Atlassian Confluence の RCE 欠陥を悪用し、PoC エクスプロイトがオンラインで公開された直後に、クリプト・マイニング・マルウェアをインストールしたことがある。

また、Hezb ボットネットも、以前に Linux 互換の Cobalt Strike ビーコンと XMRig マイナーを、未パッチの WSO2 製品を実行しているサーバーに展開した。Dark.IoT は、Realtek SDK を使用する数十万台のデバイスを、OMIGOD エクスプロイトによりターゲットにし、Microsoft Azure VM 上にコイン・マイナーのペイロードをドロップしてきた。

Lacework Lab は、「Confluence における脆弱性の悪用は、クラウドを標的とする脅威アクターに常に好まれてきた。Lacework Labs では、この活動を観察し続けているが、log4j や apache などの影響力の強い脆弱性と比較すると、まだ露出度は低い状態にある」と述べている。

Lacework Confluence exploitation


広範な悪用により、連邦政府機関に緩和が命じられる

先週に、サイバーセキュリティ企業の Volexity により、この積極的に悪用されるゼロデイ脆弱性が公開された。また、CISA は連邦政府機関に対して、ネットワーク上の Confluence サーバーへ向けた、すべてのインターネット・トラフィックをブロックするよう命じた。

また Volexity は、この RCE 脆弱性 CVE-2022-26134 に対して、パッチが適用されていない脆弱なサーバーをターゲットにし、中国の複数の脅威アクターたちが、Web シェルを展開している可能性が高いことを明らかにした。この積極的に悪用されるバグが公開された翌日に、Atlassian はセキュリティ・アップデートをリリースし、進行中の攻撃をブロックするために、迅速にパッチを適用するよう顧客に促した。同社は、「Confluence の FIX バージョンには、いくつかのセキュリティ修正が含まれているため、アップグレードを強く推奨する」と述べている。

なお、直ちに Confluence をアップグレードできない場合は、Confluence サーバー上の JAR ファイルを更新することで、一時的な回避が可能とされている。

この脆弱性 CVE-2021-26084 ですが、最初の報道は 2021年9月上旬の「米政府 警告:Atlassian Confluence の大規模な悪用が進行中」と、「Atlassian Confluence の悪用は暗号マイニングの範囲に留まるか?」でした。その後、9月30日に「Atlassian Confluence の脆弱性 CVE-2021-26084:トロイの木馬が見つかった」があり、11月には CISA 悪用脆弱性リストに追加され、今日の記事へとつながっています。

%d bloggers like this: