Microsoft: State hackers exploiting Confluence zero-day since September
2023/10/11 BleepingComputer — Microsoft の警告によると、Storm-0062 (別名 DarkShadow/Oro0lxy) として追跡されている中国の脅威グループが、2023年9月14日以降において、Atlassian Confluence Data Center/Server の親告な特権昇格のゼロデイを悪用しているという。2023年10月4日に Atlassian は、脆弱性 CVE-2023-22515 について情報を公開した際に、すでに積極的なエクスプロイト状態であることを通知していた。しかし同社は、この脆弱性を悪用している脅威グループについては、具体的な詳細を明らかにしていない。
10月11日に Microsoft Threat Intelligence のアナリストたちは、脆弱性 CVE-2023-22515 の悪用に Storm-0062 が関与しているという詳細な情報を共有し、4つの違反 IP アドレスを Twitter のスレッドに投稿した。
10月初旬に Atlassian が、セキュリティ・アップデートを提供したことを考慮すると、この脆弱性はゼロデイとして3週間近く Storm-0062 に悪用され、公開されたエンドポイント上において、任意の管理者アカウントを作成していたことになる。
Storm-0062 は、中国の国家安全保障省に関連する APT であり、米国/英国/オーストラリア/ヨーロッパ諸国の情報を収集するために、ソフトウェア/エンジニアリング/医療研究/政府/防衛/ハイテク企業などを標的にしている。
2020年7月に米国は、世界中の政府組織や企業をハッキングして、テラバイトのデータを盗んだとして、中国のハッカーを起訴した。
オンラインで公開された PoC エクスプロイト
サイバーセキュリティ企業 Greynoise が収集したデータによると、脆弱性 CVE-2023-22515 の悪用は、きわめて限定的なものであるようだ。しかし、昨日に Rapid7 の研究者が公開した PoC エクスプロイトと、脆弱性に関する詳細な技術情報により、悪用の状況が直ちに変化するかもしれない。
Rapid7 のアナリストたちは、攻撃者が製品の既存のセキュリティ・チェックを迂回する方法と、脆弱なエンドポイントに対して細工した HTTP リクエストを送信する際の、適切な cURL コマンドの選択について示している。それにより、攻撃者が知っているパスワードを持つ、新しい管理者ユーザーが作成される。
Rapid7 による詳細な記述には、他のユーザーがセットアップ完了の通知を受け取らないようにするための、追加のリクエストも含まれており、侵害のステルス化にも考慮している。
Atlassian がセキュリティ・アップデートを配布してから1週間が経過したことで、PoC エクスプロイトが公開される前に、ユーザーが対応する時間は十分にあったはずだ。
もし、現時点でもパッチが未適用であるなら、以下に示される修正済み Atlassian Confluence のリリースの、いずれかにアップグレードすることを推奨する:
- 8.3.3 以降
- 8.4.3 以降
- 8.5.2 (Long-Term Support releas) 以降
なお、脆弱性 CVE-2023-22515 は、8.0.0 以下の Confluence Data Center/ Server には影響を及ぼさないため、古いリリースのユーザーは何もする必要がないことに注意してほしい。また、atlassian.net ドメインにおける Atlassian-hosted instances も同様であり、それらのバージョンは、この攻撃に対して脆弱ではない。
侵害の指標および、アップグレード手順、影響を受ける製品バージョンのフルリストについては、アAtlassian のセキュリティ情報を参照してほしい。
この、Atlassian Confluence のゼロデイ CVE-2023-22515 ですが、2023/10/04 の第一報の時点で、すでに攻撃が観測されていると指摘されていました。そして今回は、Microsoft が、悪意の IP アドレス4件を、Teitter に公開するという対策を講じました。ご利用のチームは、パッチ適用を、ご確認ください。
You must be logged in to post a comment.