CVE-2023-22516: Critical RCE Vulnerability Discovered in Atlassian Bamboo
2023/11/21 SecurityOnline — 最近のセキュリティ・アドバイザリで Atlassian は、Bamboo Data Center と Bamboo Server バージョン 8.1.0〜9.3.0 に影響を及ぼす、深刻なリモートコード実行 (RCE) 脆弱性を公表した。この脆弱性 CVE-2023-22516 は、認証された攻撃者に対して、影響を受けたシステム上で任意のコード実行を許すものだ。その結果として、機密データ漏洩/オペレーションの中断/サーバの完全な制御などにいたるという。
脆弱性の技術的詳細
このリモート・コード実行 (RCE) の脆弱性 CVE-2023-22516 の悪用に成功した攻撃者は、システムの制御が可能となり、データの機密性/完全性/可用性に甚大な損害が生じる可能性がある。
影響を受ける Bamboo バージョン
この脆弱性は、以下のような Bamboo Data Center/Bamboo Server のバージョンに影響する:
- Bamboo Data Center および Server 8.1.0
- Bamboo Data Center および Server 8.2.0
- Bamboo Data Center および Server 9.0.0
- Bamboo Data Center および Server 9.1.0
- Bamboo Data Center および Server 9.2.0
- Bamboo Data Center および Server 9.3.0
エクスプロイトの複雑性と影響の重大性
この脆弱性の深刻度は CVSS:8.5 だが、Bamboo インスタンスにアクセスするための有効な認証情報を持っていることが、攻撃の前提となる。ただし、いったんアクセスが成功した攻撃者は、ユーザーの操作を必要とせずに、任意のコードを実行できる。
発見と対策
この脆弱性は、Atlassian のバグバウンティ・プログラムを通じて、知見のある個人ユーザーが発見したものだ。この深刻な脆弱性に対処するために、Atlassian が強く推奨するのは、Bamboo Data Center/Server を最新バージョンにアップグレードすることだ。また、早急なアップグレードが難しい場合は、サポートされている修正バージョンの適用も可能である:
- Bamboo Data Center/Server の 9.2/9.2.7 以上にアップグレードする。
- Bamboo Data Center/Server で Java 8 を使用している場合は、JDK 1.8u121+ を使用する必要がある。
- Bamboo Data Center/Server 9.3/9.3.4 以上にアップグレードする。
Atlassian Bamboo の、リモートコード実行の脆弱性 CVE-2023-22516 が FIX とのことです。Bamboo という名前からして CI/CD (continuous integration and continuous delivery) なのだろうと思い、 調べてみたら、そのとおりでした。お隣のキュレーション・チームに聞いてみたところ、2017年ころから、ポツポツと脆弱性情報を拾っているとのことでした。よろしければ、CI/CD で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.