Atlassian の脆弱性 CVE-2023-22515:悪用について CISA/FBI/MS-ISAC が共同勧告

CISA, FBI urge admins to patch Atlassian Confluence immediately

2023/10/16 BleepingComputer — 10月16日 (月) に、CISA/FBI/MS-ISAC はネットワーク管理者に対して、攻撃で積極的に悪用されている Atlassian Confluence の脆弱性に対して、直ちにパッチを適用するよう警告した。この深刻な特権昇格の脆弱性 CVE-2023-22515 は、Confluence Data Center/Server 8.0.0 以降に影響を及ぼすものであり、ユーザーによる操作を必要としない、リモートからの容易な悪用が可能なものである。


10月4日にセキュリティ・アップデートをリリースした Atlassian は、このバグがゼロデイとして既に悪用されていることを警告している。顧客に対して推奨されるのは、可能な限り早急に Confluence インスタンスを、修正バージョン (8.3.3 以降/8.4.3 以降/8.5.2 以降) にアップグレードすることだ。

アップグレードが不可能な場合には、影響を受けたインスタンスのシャットダウンもしくは、インターネット・アクセスからの隔離が促されている。さらに、新たに追加された管理者アカウントや、不審な管理者アカウントなどを確認して、侵害の兆候をチェックすることも助言されている。

この脆弱性が CISA KEV (Known Exploited Vulnerabilities) リストに追加された1週間後に Microsoft は、中国の脅威グループ Storm-0062 (別名 DarkShadow/Oro0lxy) が、遅くとも 2023年9月14日以降において、この脆弱性をゼロデイとして悪用していることを明らかにした。

この3つの組織は、「CISA/FBI/MS-ISAC はネットワーク管理者に対して、Atlassian が提供するアップグレードを、直ちに適用するよう強く推奨する。また、検出シグネチャと IOC (Indicators of Compromise) を使用して、ネットワーク上の悪意のアクティビティを探索することを推奨する。潜在的な侵害が検出された場合には、このインシデント対応に関する推奨事項を適用すべきである」と述べている。

CISA CVE-2023-22515 active exploitation

広範な悪用の警告

サイバー・セキュリティ企業 Greynoise が収集したデータによると、CVE-2023-22515 の悪用は、現時点では極めて限定された範囲に留まっているようだ。

その一方で、ペンテスターの Valentin Lobstein と、Sophee のセキュリティ・エンジニア Owen Gong が、PoC エクスプロイト [12] をリリースしている。また、先週には Rapid7 の研究者たちが、公開された脆弱性に対する技術的な詳細を提供している。したがって、悪用の状況が直ちに変化する可能性は否定できない。

上記の共同アドバイザリには、「悪用が容易であるため、CISA/FBI/MS-ISAC は、政府および民間のネットワークにおいて、パッチが適用されていない Confluence インスタンスが、広範囲で悪用されると推測している」と記されている。

これまでにも Confluence サーバは、悪意のエンティティにとって魅力的な存在だと認識されていることから、可能な限り早急なパッチ適用が最重要となる。以前にキャンペーンにおいては、Linux ボットネット・マルウェアや暗号マイナーに加えて、AvosLocker/Cerber2021 ランサムウェア攻撃の行われていることから、この問題には緊急で対応する必要がある。

また、昨年に CISA が、連邦政府機関に対して命じたものに、野放し状態で悪用されている Confluence の脆弱性 CVE-2022-26138 への対処がある。この動きの背景には、サイバーセキュリティ企業 Rapid7 と、脅威インテリジェンス企業 GreyNoise からの事前の警告があった。

Atlassian の脆弱性 CVE-2023-22515 ですが、第一報は 2023/10/04 の「Atlassian Confluence のゼロデイ CVE-2023-22515:すでに攻撃が観測されている」で、第二報は 2023/10/11 の「Atlassian Confluence の脆弱性 CVE-2023-22515:APT による攻撃を Microsoft が警告」となっています。また、CISA KEV には、10月5日付で追加されています。それでも、悪用が止まらないので、 CISA/FBI/MS-ISAC が共同勧告を出したということなのでしょう。よろしければ、Atlassian で検索も、ご利用ください。