Atlassian Confluence のパスワード・ハードコードの脆弱性:すでに悪用が始まっている

Latest Critical Atlassian Confluence Vulnerability Under Active Exploitation

2022/07/28 TheHackerNews — Atlassian の Confluence Server/Confluence Data Center 用アプリである、Questions For Confluence の深刻な脆弱性を修正するパッチを配布してから 1 週間が経ったが、実際に悪用される事態が発生している。この脆弱性 CVE-2022-26138 は、Questions For Confluence 内でハードコードされたパスワードが使用されており、リモートの未認証の攻撃者に対して、Confluence の全ページへの無制限のアクセスを許す可能性が問題視されている。

このハードコードされたパスワードが、Twitter 上で公開されたことを受けて、Atlassian は潜在的な脅威を軽減するために、この脆弱性に対処するパッチを優先的に適用している。

Rapid7 のセキュリティ研究者である Glenn Thorpe は、「Confluence は攻撃対象としての価値が高いため、この脆弱性にランサムウェア攻撃者は群がっている。ハードコードされた認証情報が公開された直後から、当然のことながら、すぐに悪用されることが分かっていた」と述べている。


注目すべきは、Questions for Confluence アプリが有効になっているときのみ、このバグが存在するということだ。ただし、Questions for Confluence アプリをアンインストールしても、作成されたアカウントは自動的に削除されないため、この欠陥は修正されない。

対象製品を使用しているユーザーに対しては、可能な限り早急にオンプレミス・インスタンスを最新版 (2.7.38/3.0.5) に更新するか、アカウントの無効化/削除の措置を取ることが推奨される。

なお、Palo Alto Networks は 2022 Unit 42 Incident Response Report において、脅威アクターたちは、新しいセキュリティ欠陥の公開から 15分以内に、脆弱なエンドポイントをスキャンしていることを明らかにしているが、今回の進展は、この指摘にあるような事態を招いている。

たしかに、パスワード・ハードコートの脆弱性ですから、脅威アクターたちが殺到するのも当然のことだと思います。この脆弱性 CVE-2022-26138 に関する経緯については、7月20日の「Atlassian の Questions for Confluence:パスワード・ハードコードの脆弱性が FIX」を、ご参照ください。

%d bloggers like this: