Atlassian Confluence の脆弱性 CVE-2023-22518:Cerber ランサムウェアの攻撃を観測

Critical Atlassian Confluence bug exploited in Cerber ransomware attacks

2023/11/06 BleepingComputer — 先日にパッチが適用された、Atlassian Confluence に存在する深刻な認証バイパスの脆弱性を悪用する Cerber ランサムウェアが、被害者のファイルを暗号化している。Atlassian が不適切な認証の脆弱性と説明する CVE-2023-22518 (CVSS:9.1) は、Confluence Data Center/Confluence Server ソフトウェアの全てのバージョンに影響を及ぼす。10月31日 (火) にセキュリティ・アップデートをリリースした Atlassian は、この脆弱性の悪用によりデータが消去される可能性もあるため、脆弱性のある全てのインスタンスに対して、直ちにパッチを当てるよう管理者たちに警告した。


Atlassian の CISO である Bala Sathiamurthy は、「継続的なセキュリティ評価プロセスの一環として、Confluence Data Center/Confluence Server の顧客が、認証されていない攻撃者に攻撃された場合に、重大なデータ損失を被る可能性があることを発見した。したがって顧客は、インスタンスを保護するために直ちに行動を起こす必要がある」と述べている。

その後に同社は2度目の警告を発表し、悪用が進行しているという証拠はないが、オンラインでエクスプロイト情報が出回っていることを顧客に警告した。

システムに対して直ちにパッチを適用できない場合は、それらのインスタンスのバックアップを行い、安全が確保されるまでインターネット・アクセスをブロックするなどの。緩和策を適用するよう促している。

また、アドバイザリで説明されているように、”//confluence/WEB-INF/web.xml” を修正し、脆弱なインスタンスを再起動することで、既知の攻撃ベクターを除去するオプションもある。

脅威監視サービス ShadowServer のデータによると、現時点で 24,000 以上の Confluence インスタンスがオンライン上に露出しているが、どれだけの数が CVE-2023-22518 攻撃に対して脆弱なのかどうかは分からない。

Internet-exposed Atlassian Confluence instances
Internet-exposed Atlassian Confluence instances (Shadowserver)
ランサムウェア攻撃に悪用される

11月3日 (金) にアドバイザリを更新した Atlassian は、PoC エクスプロイトがリリースされた直後から、この脆弱性をターゲットにする攻撃が発生していると注意を促している。

Atlassian は、「アクティブなエクスプロイトの報告を顧客から受けているため、顧客に推奨されるのは、インスタンスを保護するために直ちに行動を起こすことだ。すでにパッチを適用している場合には、それ以上の対応は不要である」と述べている。

また、脅威情報会社 GreyNoise は、脆弱性 CVE-2023-22518 の広範な悪用が、11月5日 (日) から始まっていると警告している。

サイバー・セキュリティ会社 Rapid7 も、インターネットに公開された Atlassian Confluence サーバに対する攻撃において、今回の認証バイパスの脆弱性 CVE-2023-22518 と、以前にゼロデイとして悪用された特権昇格の脆弱性 CVE-2023-22515 を狙った攻撃を観測している。

Rapid7 は、「2023年11月5日の時点で、Rapid7 Managed Detection and Response (MDR) が観測しているのは、複数の顧客環境における Atlassian Confluence に、ランサムウェアなどが展開されている状況である。複数の攻撃チェーンにおいて、エクスプロイト後のコマンド実行を観測しており、それにより “193.43.72[.]11” および “193.176.179[.]41” でホストされている悪意のペイロードがダウンロードされる。このステップが成功した場合には、Confluence サーバ上に Cerber ランサムウェアが展開される」と述べている。

10月の時点で CISA/FBI/MS-ISAC) は共同勧告を発表し、ネットワーク管理者に対し、遅くとも 9月14日から活発に悪用されている 特権昇格の脆弱性 CVE-2023-22515 対して、Atlassian Confluence サーバを直ちに保護するよう促している。

いまから2年前にも、Cerber (別名 CerberImposter) ランサムウェアは、リモートコード実行の脆弱性 CVE-2021-26084 を悪用し、Atlassian Confluence サーバを標的とした攻撃を行っていた。

Atlassian Confluence の脆弱性 CVE-2023-22518 ですが、第一報は 2023/10/31 の「Atlassian Confluence の脆弱性 CVE-2023-22518:データ損失に繋がる可能性」であり、第二報は 2023/11/02 の「Atlassian Confluence の脆弱性 CVE-2023-22518:エクスプロイト情報が出回り始めた」となっています。脅威アクターたちの動きが早いですね。ご注意ください。