CISA 勧告:Atlassian Confluence パスワードハードコード欠陥の積極的な悪用を検知

CISA warns of critical Confluence bug exploited in attacks

2022/07/29 BleepingComputer — CISA は、Atlassian Confluence の深刻な脆弱性 CVE-2022-26138 を、悪用脆弱性リスト (KVE:Known Exploited Vulnerabilities Catalog) に追加した。この脆弱性の悪用に成功したリモート攻撃者は、ハードコードされた認証情報の窃取が可能になる。先週に、オーストラリアのソフトウェア会社である Atlassian が公開したように、パッチ未適用の Questions for Confluence アプリは、8,000台以上のサーバーにインストールされており、ハードコードされた認証情報を持つアカウントを作成している。

Atlassian が脆弱性 CVE-2022-26138 を修正した翌日に、ハードコードされたパスワードがオンラインで公開されているのが発見された。それを受けて同社は、Confluence の管理者たちに対して、サーバーを直ちに修正するよう通知している。

Atlassian は、「すでに、ハードコードされたパスワードが一般に知られるようになった。この脆弱性は悪用される可能性が高い。脅威アクターたちが、ハードコードされた認証情報を用いて、脆弱な Confluence Server/Data Center Server にログインする可能性がある」と警告している。

今日になって CISA は、頻繁に悪用されている証拠に基づき、この脆弱性 CVE-2022-26138 を KEV カタログに追加した。

水曜日には、サイバー・セキュリティ企業の Rapid7 も、この脆弱性が活発に悪用される状況になると警告する、レポートを発表している。しかし、このレポートには、攻撃に関する情報や、調査中に収集した侵害の指標は含まれていない。

Rapid7 の Glenn Thorpe は、「この脆弱性を悪用するランサムウェア攻撃者にとって、Confluence の価値は高い。このことを考えると、ハードコードされた認証情報が公開された直後に、Rapid7 が悪用を発見したのは当然のことだ」と述べている。

連邦政府機関は、サーバーを保護するために3週間の猶予を与えられた

2021年11月に発行された Binding Operational Directive (BOD 22-01) により、すべての連邦民間行政機関 (FCEB) は、CISA の KVE カタログに加えられた脆弱性に対して、システムを保護するよう命じられている。また、CISA は連邦政府機関に対して、8月19日までの3週間で CVE-2022-26138 に関するパッチを適用し、ネットワークへの攻撃の阻止するよう求めている。

BOD 22-01 は、米国連邦政府機関のみに適用されるものだが、脆弱な Confluence サーバーに対する攻撃を阻止するために、CISA は、この脆弱性の修正を全米の民間組織に対しても強く要請している。

金曜日に CISA は、「この種の脆弱性は、脅威アクターが頻繁に用いる攻撃経路であり、連邦政府企業にとって重大なリスクとなる」と付け加えている。

この指令が出された後に、攻撃に悪用される数百の脆弱性のカタログに、CVE-2022-26138 も追加された。CISA は連邦政府機関に対して、脆弱なシステムへの侵害を防ぐために、迅速にパッチを適用するよう命じている。

Confluence Server は、脅威アクターの格好の標的となっており、過去には、ランサムウェアの AvosLocker/Cerber2021、マルウェア Linux botnet malware、暗号化マイナーなどから攻撃を受けている。このことを考えると、Confluence Server の保護は特に重要であると言える。

Confluence の脆弱性 CVE-2022-26138 ですが、やはり CISA に KEV に追加されましたね。この Questions for Confluence アプリのバグですが、7月20日の「Atlassian の Questions for Confluence:パスワード・ハードコードの脆弱性が FIX」に詳細が記され、7月28日の「Atlassian Confluence のパスワード・ハードコードの脆弱性:すでに悪用が始まっている」という続報もありますので。よろしければ ご参照ください。

%d bloggers like this: