Atlassian Confluence の脆弱性 CVE-2023-22518:エクスプロイト情報が出回り始めた

Atlassian warns of exploit for Confluence data wiping bug, get patching

2023/11/02 BleepingComputer — Atlassian Confluence の深刻な脆弱性に対するエクスプロイトが公開され、インターネットに露出している未パッチのインスタンスを狙う、データ破壊攻撃が生じる恐れがあると、管理者たちに警告が発せられている。この脆弱性 CVE-2023-22518 (CVSS:9.1) は、Confluence Data Center/Server の全バージョンに影響を及ぼす不適切な認証の脆弱性である。


Atlassian はアドバイザリの更新で、一般に利用可能なエクスプロイトが発見され、インターネットからアクセスが可能なインスタンスで、深刻なリスクが生じると警告している。

Atlassian は、「脆弱性 CVE-2023-22518 の継続的な監視を行っているが、悪用のリスクを高める重要な情報が公開されていることを確認した。現時点では、アクティブな悪用の報告はないが、顧客にとって必要なのは、インスタンスを保護するための早急に対応である。だたし、すでにパッチを適用している場合には、それ以上の対応は不要である」と述べている。

この脆弱性の悪用に成功した攻撃者は、脆弱なサーバ上のデータを消去できるが、インスタンスに保存されているデータを盗むことはできないという。また、Atlassian によると、atlassian.net ドメインを通してアクセスされる、Atlassian Cloud サイトには影響が生じないという。

この 11月2日の警告は、10月31日にパッチ適用された際に、Atlassian の CISO である Bala Sathiamurthy が発した警告に続くものだ。

Atlassian は、「継続的なセキュリティ評価プロセスの一環として、Confluence Data Center/Server の顧客が、認証されていない攻撃者に悪用され、深刻なデータ損失を被る可能性があることが判明した。現時点では、悪用の報告は聞いていないが、顧客にとって必要なのは、インスタンスを保護するための早急な対処すである」と警告している。

なお、Atlassian Confluence Data Center/Server の、バージョン 7.19.16/8.3.4/8.4.4/8.5.3/8.6.1 において、この脆弱性 CVE-2023-22518 は修正されている。

利用可能な緩和策

同社は管理者たちに推奨しているのは、直ちにソフトウェアをアップグレードすることだ。しかし、それが不可能な場合には、未パッチのインスタンスをバックアップし、アップデートされるまでインターネット・アクセスをブロックするなどの、緩和策を適用すべきだとしている。

Confluence インスタンスに対して、直ちにパッチを適用できない場合には、アドバイザリで説明されているように、”//confluence/WEB-INF/web.xml” を変更して、以下のエンドポイントへのアクセスをブロックすることで、既知の攻撃ベクターを削除できる。それに加えて、脆弱なインスタンスの再起動も必要になるが、この緩和措置は限定的なものであり、インスタンスにパッチを当てる代わりにはならない。

  1. /json/setup-restore.action
  2. /json/setup-restore-local.action
  3. /json/setup-restore-progress.action

2023年10月に CISA/FBI/MS-ISAC は、Atlassian Confluence Server に存在する特権昇格の脆弱性 CVE-2023-22515 に関して、積極的な悪用を警告し、パッチ適用を強く推奨していた。

その後に Microsoft は、中国の脅威グループである Storm-0062 (DarkShadow/Oro0lxy) が、2023年9月14日以降において、この脆弱性をゼロデイとして悪用していることを発見した。

以前から Confluence サーバが標的とされ、AvosLocker/Cerber2021 などのランサムウェアや、Linux ボットネット/暗号マイナーなどの攻撃の対象になっていたことを考えると、脆弱な Confluence サーバの保護は極めて重要である。

この脆弱性に関する第一報は、2023/10/31 の「Atlassian Confluence の脆弱性 CVE-2023-22518:データ損失に繋がる可能性」です。パッチが提供されても、それぞれのユーザーが適用するまでには、必ずタイムラグが生じます。しかし、エクスプロイト情報が出回っているようなので、この脆弱性 CVE-2023-22518 へのパッチは、最優先になるはずです。よろしければ、Atlassian で検索も、ご利用ください。