Atlassian Confluence の脆弱性 CVE-2022-26134：脆弱なインスタンス数は減ったが攻撃が活発化

Atlassian Confluence Server Bug Under Active Attack to Distribute Ransomware

2022/06/18 DarkReading — Atlassian Confluence Server における、先日に公開リモートコード実行 (RCE) の深刻な脆弱性が一連の攻撃に頻繁にさらされ、マルウェアやランサムウェアなどが展開されている。Sophos の研究者たちによると、Windows／Linux サーバ上で動作する脆弱な Atlassian Confluence インスタンスに対して、脅威アクターによる自動化されたエクスプロイト攻撃が、これまでの２ 週間で複数回観測されているという。

木曜日の Sophos レポートでは、このうち少なくとも２件の Windows 関連の攻撃において、脅威者は Atlassian の脆弱性を悪用し、被害者のネットワークに Cerber ランサムウェアをドロップしていたと述べられている。6月20日に Atlassian は、Confluence Server の脆弱性 CVE-2022-26134 を公表した。この脆弱性は、Volexity の研究者たちが、顧客企業で発生した不正アクセスの調査中に発見したものである。

Atlassian Confluence Server／Confluence Data Center の全ての現行バージョンに存在する、この脆弱性の悪用に成功した、基本的に認証されていない攻撃者は、リモートからのアクセスが可能なインメモリ Web シェルを、システム上にドロップする。

Volexity が調査した攻撃においては、この Web シェルへのアクセスを悪用する脅威者は、侵害したシステム上に他のマルウェアをドロップすることで、そのシステムに対する持続的なバックドア・アクセスを提供していた。

この脆弱性により、Confluence 環境にあるプロジェクトや顧客などの、機密性が高いと思われるデータにアクセスする方法が脅威アクターに与えられるため、いくつかの懸念が生じていた。そのため、この脆弱性が公開された翌日である 2022年6月3日に 、Atlassian はパッチをリリースしている。

Confluence への継続的な攻撃

Sophos によると、脆弱な Confluence Server インスタンスの数は、その後に減少しているが、攻撃は続いている。したがって、パッチの適用が、これまで以上に重要となっているとのことだ。

Sophos が観測した大半の攻撃において、脅威者はファイルレス Web シェルを用いて、既存のマルウェア・ツールのコレクションをより広範囲に拡散しようとしていた。

それらのペイロードには、Mirai ボットの亜種／z0minerとして知られるクリプトマイナー／Linux ディストリビューションでルートアクセスを取得するツール pwnkit などが含まれている。また、Atlassian Confluence の脆弱性を悪用して、脆弱なシステム上に ASP／PHP ベースの Web シェルを投下し、他のマルウェアを投下する前段階を整える、脅威アクターの存在も確認されたと Sophos は述べている。

Sophos の観測によると、PowerShell コマンドを操る攻撃者が、脆弱なバージョンの Confluence を実行しているWindows サーバを侵害した後に、CobaltStrike ツールキットを展開するシェルコードをダウンロードするケースもあったようだ。

観測された２つのインシデントにおいて、攻撃者は Confluence エクスプロイトを介して、エンコードされた PowerShell コマンドでマルウェアをダウンロード／実行する、Cerber ランサムウェアを展開しようとしていた。

どちらのインシデントにおいても、攻撃者は身代金の支払いを引き出すための追加の手段として、被害者からデータを盗んだことが示唆される。ただし、実際に脅威アクターが、データを流出させたという証拠はないと、Sophos は述べている。

二重脅迫の脅威

Cerber のような二重脅迫を行うランサムウェア攻撃は、2020年の初めに登場したランサムウェア・グループ Maze 以来、ますます一般的になっている。これらの攻撃では、脅威者はデータの暗号化で脅すだけではなく、身代金の要求が満たされない場合のデータ公開という手口も用いる。

最近の Rapid7 の調査によると、被害者に身代金を要求しようとする脅威アクターが、最初に流出させる情報の種類としては、財務データが 63%と最も多く、次いで顧客データが 48%となっている。しかし Rapid7 は、脅威者が最初に流出させるデータの種類の傾向が、業界により異なることを発見した。

たとえば、被害者が金融サービスの場合、一般的なランサムウェア・ギャングは、被害者の財務データではなく、顧客データを優先して流出させる傾向があった (83％)。しかし、ヘルスケアや製薬分野の組織においては、71%の確率で財務データが流出されており、顧客データの流出よりも高い確率で行われていた。

また Rapid7 は、それぞれのランサムウェア・オペレーターごとに、流出させるデータの種類に違いがあることを発見している。たとえば、Conti ランサムウェアが関与するインシデントの 81%は、財務データの流出が行われている。その一方で、Cl0p グループの場合は 70% の割合で、従業員データが開示されていた。

この脆弱性 CVE-2022-26134 については、6月に入ってからパッチ適用前にハッカーが悪用や、広範な悪用／攻撃が始まっている、パッチ適用までの対応を詳述という具合に、各種のメディアが熱心に追いかけています。Atlassian Confluence が広範囲で利用される、きわめて重要な製品だということを考えると、当然のことかもしれません。タイトルにもあるように、脆弱なインスタンス数は減ったが攻撃は活発化している状況のようです。未パッチの Confluence について、ご確認ください。