Atlassian Releases Critical Software Fixes to Prevent Remote Code Execution
2023/12/06 TheHackerNews — Atlassian はのソフトウェアに存在する4件の深刻な欠陥に対して、修正プログラムがリリースされた。それらの脆弱性の悪用に成功した攻撃者により、リモート・コードが実行される可能性が生じるという。
脆弱性のリストは以下の通りである。
- CVE-2022-1471 (CVSS:9.8):SnakeYAML ライブラリにおけるデシリアライゼーションの脆弱性。
- CVE-2023-22522 (CVSS:9.0):Confluence Data Center/Confluence Server におけるリモートコード実行の脆弱性 (4.0.0 以降の全てのバージョンに影響。
- CVE-2023-22523 (CVSS:9.8):Jira Service Management Cloud/Server/Data Center の Assets Discovery におけるリモートコード実行の脆弱性 (3.2.0-cloud/6.2.0 data center-server を除く全てのバージョンに影響)。
- CVE-2023-22524 (CVSS:9.6):macOS 用 Atlassian Companion アプリにおけるリモートコード実行の脆弱性 (2.0.0 以下の全てのバージョンに影響)。
Atlassian は、脆弱性 CVE-2023-22522 について、テンプレート・インジェクションの欠陥だと説明している。それにより、認証済みの攻撃者による匿名アクセスなどにより、Confluence ページ内に危険なユーザー入力が挿入され、コード実行にいたる可能性がある。
Assets Discovery の脆弱性は、Assets Discovery エージェントがインストールされたマシン上で、特権リモートコード実行にいたる可能性があるものだ。その一方で、脆弱性 CVE-2023-22524 は、WebSocket を悪用する攻撃者に対して、Atlassian Companion のブロックリストと macOS Gatekeeper のバイパスを許し、コード実行の可能性を引き起こすものだ。
先日に Atlassian は、Bamboo Data Center/Server 製品において、Apache ActiveMQ の深刻なセキュリティ欠陥 (CVE-2023-46604、CVSS:10.0) が積極的に悪用され、全バージョンが影響を受けていることを明らかにしていた。それから、約 1 ヶ月後に、今回のセキュリティ・アドバイザリが発表された。そのための修正は、バージョン 9.2.7/9.3.5/9.4.1 以降でリリースされている。
この数年において Atlassian 製品は、脅威アクターたちの格好の攻撃ベクターとして悪用されている。したがって、影響を受けるインストールへのパッチ適用のための、ユーザーの迅速に行動が強く推奨される。
今年の Atlassian も、脆弱性と悪用に悩まされていました。2023年11月だけでも、Confluence の CVE-2023-22518 や、Bamboo の CVE-2023-22516、Crowd の CVE-2023-22521 などが話題になっていました。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.