Researchers Published Technical Details for Atlassian Confluence RCE (CVE-2023-22527)
2024/01/22 SecurityOnline — Atlassian Confluence Server/Data Center において、積極的な悪用が確認されている深刻なセキュリティ脆弱性について、Project Discovery のセキュリティ研究者 Rahul Maini と Harsh Jaiswal が技術的な詳細を公開した。この脆弱性 CVE-2023-22527 は CVSS 10.0 とされるが、現時点では修正されている。
この脆弱性の影響を受けるバージョンは、7.19.x LTS を除く 8.0.x〜8.5.3 と広範に及ぶ。この脆弱性は、古いバージョンの Confluence Data Center/Server における、テンプレート・インジェクションに起因するものであり、認証されていない攻撃者に、影響を受けたシステム上でリモート・コード実行 (RCE:Remote Code Execution) をゆるす可能性がある。
この脆弱性は、研究者たちの綿密な解析により発見されたものである。Maini と Jaiswal は、バージョン 8.5.4/8.5.3 の間のパッチの差分を調査して、ファイルの変更と潜在的な脆弱性を突き止めた。彼らの焦点は、OGNL 関連の変更が加えられたファイルと、findValue や translateVariables のような関数を介した、OGNL (Object-Graph Navigation Language) インジェクションのリスクに当てられた。
研究者たちの粘り強さが実を結んだのは、あるテンプレート・ファイルがパラメータを受け入れて、潜在的に危険なシンクに渡していることを発見したときだった。たとえば、”confluence/template/xhtml/pagelist.vm” において研究者たちは、$parameters オブジェクトを操作して OGNL インジェクションを発生させることに成功した。
興味深いのは、getText 関数呼び出しからエスケープし、制御された OGNL 構文を追加することで、Blind OGNL 式評価をトリガーできることを、彼らが発見したことだ。それが、OGNL インジェクションによるリモート・コード実行への鍵となる、重要な突破口となった。
彼らは最終的に、Confluence で使用されているフレームワークである Struts により設定された、セキュリティ制限の回避に成功した。続いて、.KEY_velocity.struts2.context” キーを “#request” マップ内で悪用することで、重要な OGNL 関数にアクセスして呼び出し、任意のコードの実行の糸口を掴んだ。
Atlassian は、危険性の高い脆弱性 CVE-2023-22527 に対して、最新のバージョンで対処している。この脆弱性から保護するために推奨されるのは、Confluence のインストールを最新バージョンにアップデートすることだ。さらに、研究者たちは、CVE-2023-22527 を検出するための核となるテンプレートを作成しており、このようなサイバー脅威に対するコミュニティの集団的防御に貢献している。
Atlassian Confluence の脆弱性 CVE-2023-22527 については、2024/01/16 の「Atlassian Confluence の深刻な脆弱性 CVE-2023-22527 が FIX:CVSS 10 の RCE」で、第一報をお届けしています。そして、この脆弱性の悪用が観測されたとのことです。パッチがまだのチームは、対応をお急ぎください。
IoT OT Security News 
You must be logged in to post a comment.