CVE-2023-22527 (CVSS 10): Critical RCE Flaw in Confluence Data Center and Server
2024/01/16 SecurityOnline — Atlassian の Confluence Data Center/Confluence Server に、新たな脆弱性 CVE-2023-22527 が発見された。この脆弱性は CVSS 10.0 と評価されており、サイバー・セキュリティの脅威の領域における最高レベルの深刻度を示している。
この脆弱性は、リモート・コード実行 (RCE:Remote Code Execution) に分類されている。RCE 脆弱性とは、被害者のシステム上で、リモートの攻撃者に任意のコード実行を許す、セキュリティ欠陥の一種である。この脆弱性が特に悪質なのは、認証なしで悪用できる点だ。簡単に言うと、攻撃者はシステムにログインすることなく、悪意のコード実行が可能だということだ。
Atlassian のアドバイザリには、「Confluence Data Center と Confluence Server の古いバージョンに、テンプレート・インジェクションの脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるバージョン上で、認証なしで RCE を行える」と詳述されている。
この脆弱性 CVE-2023-22527 の影響を受けるのは、Confluence Data Center/Confluence Server の、2023年12月5日以前にリリースされたバージョン 8.0.x/8.1.x/8.2.x/8.3.x/8.4.x/8.5.0〜8.5.3 である。さらに、Atlassian のセキュリティ・バグ修正ポリシーに沿ってバックポートされ、修正を受けなくなったバージョン 8.4.5 も脆弱である。
影響を受けるバージョンを使用しているユーザーは、早急に対処する必要がある。現時点において、回避策は存在しない。唯一の有効な解決策は、影響を受ける各製品を、利用可能な最新バージョンにアップデートすることだ。
| Product | Fixed Versions | Latest Versions |
|---|---|---|
| Confluence Data Center and Server | 8.5.4 (LTS) | 8.5.5 (LTS) |
| Confluence Data Center | 8.6.0 (Data Center Only)8.7.1 (Data Center Only) | 8.7.2 (Data Center Only) |
最新バージョンへのアップグレードの手順は下記の通り:
- 影響を受けるバージョンの特定:現在のバージョンと、影響を受けるバージョンのリストを照合する。
- アップデートを計画:アップデートの中断を最小限に抑えるために、バックアップを取得して、トラフィックの少ない時間帯にアップデートを行う。
- ダウンロードおよびインストール:Atlassian の Web サイトにアクセスして、最新バージョンの Confluence Data Center/Confluence Server をダウンロードする。
- テストと検証:アップデート後に、システムが正しく機能し、脆弱性が緩和されていることを確認するため、徹底的にテストする。
最新バージョンの Confluence Data Center/Confluence Server へとアップデートすることで、この深刻な脆弱性からシステムを保護し、インターネット上に潜む無数の脅威に対する防御を強化できる。
この Confluence の脆弱性 CVE-2023-22527 ですが、CVSS 10 の RCE とのことなので、ご利用のチームは、アップデートをお急ぎください。Confluence に関する直近のトピックは、2023/12/28 の「Apache OFBiz の新たな脆弱性:懸念される Atlassian Confluence への攻撃」です。よろしければ、Confluence で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.