Atlassian Ships Urgent Patch for Exploited Confluence Zero-Day
2023/10/04 SecurityWeek — 10月4日 (水) に Atlassian が公表したのは、Confluence Data Center/Server 製品に存在する深刻なセキュリティ上の欠陥が、すでにゼロデイとして悪用されているという警告である。Atlassian からの緊急アドバイザリーには、「一握りの顧客が、Confluence Data Center/Server のインスタンス上で、リモートから悪用が可能な脆弱性を狙う、エクスプロイトを受けたことを確認している」と記されている。
Atlassian は、「外部の攻撃者が、パブリック・アクセスが可能な Confluence Data Center/Server インスタンスに存在する、新たな脆弱性を悪用している。具体的には、未承認の Confluence 管理者アカウントが作成され、Confluence インスタンスがアクセスされている可能性があると、一部の顧客から報告されている」と述べている。
この脆弱性 CVE-2023-22515 は、リモートから悪用が可能な特権昇格の問題を引き起こすものであり、Confluence Server/Confluence Data Center のオンプレミス・インスタンスに影響を及ぼすと説明されている。
同社は、「この脆弱性の悪用は容易であり、パブリック・インターネット上のインスタンスは特に危険である。すでにインスタンスが侵害されている場合には、アップグレードしても侵害は除去されない。なお、Atlassian Cloud サイトは、この問題の影響を受けない」と指摘している。
セキュリティベンダー Rapid7 は、ユーザー企業において、利用可能なパッチと緩和策の適用が急がれると強調している。
Rapid7 の Caitlin Condon は、「Atlassian のアドバイザリは、この脆弱性のリモートからの悪用が可能だと示唆している。つまり、権限昇格の問題というより、認証バイパスやリモートコード実行の連鎖に近い」と述べている。
Atlassian は FAQ を公開し、影響を受ける全ての Confluence インスタンスにおいて、以下のような侵害の兆候の有無を直ちにチェックするようユーザーに促している:
- confluence-administrator グループ内の予期せぬメンバーの存在。
- 新しく作成された予期せぬユーザー・アカウントの存在。
- ネットワーク・アクセスログにおける /setup/*.action へのリクエストの存在。
- Confluence のホーム・ディレクトリにある atlassian-confluence-security.log の例外メッセージにおける /setup/setupadministrator.action の存在。
Atlassian は、「インスタンスが侵害されたと判断された場合には、直ちにシャットダウンを実行し、そのサーバをネットワーク/インターネットから切り離すことを推奨する。また、侵害されたシステムとユーザーベースを共有している可能性があるシステムおよび、共通のユーザー名/パスワードの組み合わせを持っている他のシステムも、直ちにシャットダウンした方が良いだろう」と付け加えている。
これまでにも、Atlassian におけるセキュリティ上の問題は、サイバー犯罪者や国家支援 APT に狙われてきた。CISA の KEV (Known Exploited Vulnerabilities) カタログには、6件の Confluence の脆弱性が登録されており、緊急の対応が促されている。
いきなりの ゼロデイ+エクスプロイトでの登場であり、しかも CVSS が 10.0 という、脆弱性 CVE-2023-22515 です。お隣のキュレーション・チームも、同じタイミングで発見して、レポートにアップしたとのことです。これまでにも Atlassian は、さまざまな脅威アクターたちの攻撃対象として狙われてきた経緯があるので、とても心配です。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.