Stealth Bomber: Atlassian Confluence Exploits Drop Web Shells In-Memory
2024/03/09 DarkReading — さまざまなケースで標的とされる、Atlassian Confluence Data Center/Confluence Server の、脆弱性 CVE-2023-22527 に対する新たな PoC (Proof-of-concept) エクスプロイト・コードが出回っている。この新たな攻撃ベクターを利用する攻撃者は、ファイル・システムにアクセスすることなく、Confluence のメモリ内で任意のコードを密かに実行することが可能になる。
この RCE の脆弱性 CVE-2023-22527 の悪用が、2024年1月に明らかにされて以来、VulnCheck の研究者たちは追跡を続けてきた。この CVE は、情報が公開されてから “悪意の活動の温床” となっている。現時点において VulnCheck は、最近のものを含めて 30種類以上の、この脆弱性に対するエクスプロイトを追跡している。
Confluence に対する攻撃の大半では、悪名高い Web シェルである Godzilla が用いられる。攻撃者たちは、侵害したサーバ上で Godzilla を使用することで、リモート制御/任意のコマンド実行/ファイルのアップロード・ダウンロード/データベースの操作などの、悪意の活動が可能になる。
しかし新しいアプローチでは、インメモリ・ペイロードが使用されているという。この手法を用いる PoC を発見した VulnCheck の研究者たちは、インメモリ・アプローチの限界を探るために、独自の PoC を3つ開発した。
この一連の展開は、当然の流れである。攻撃者が Confluence を好んで標的とするのは、アプリケーション内で利用可能なビジネス情報が豊富であるためであり、内部ネットワークへの最適なピボットになるからだろうと、VulnCheck CTO の Jacob Baines は述べている。
彼は、「このターゲットを攻撃することで、ビジネス特有のロジックを含んだオンプレミス・バージョンが手に入る。特にランサムウェアの攻撃者たちにとっては、かなり魅力的なターゲットだ」と述べている。
Confluence のエクスプロイトのためのインメモリ Web シェル
VulnCheck はブログで、「ローマに通じる道は1つではない。freemarker.template.utility.Execute を使用することが、CVE-2023-22527 を悪用する一般的な方法のように見えるが、よりステルス性の高い方法が、異なる指標を生み出す。特に興味深いのは、インメモリ Web シェルである。このシェルには既存の亜種が存在し、野放し状態で展開されているようだ」と述べている。
Baines は、同社の PoC の1つが、任意の Java をメモリにロードするという、基本的な最初のステップを詳述していると説明する。彼は、「これは、Confluence を悪用するための、非常に明白で捕捉しやすい方法である。つまり、任意の Java を、メモリにロードする方法は知っておくと便利だ」と述べている。
Confluence の CVE-2023-22527 に関する、VulnCheck の他の2つの PoC エクスプロイト・コードでは、脅威アクターがインメモリ Web シェルを直接ロードすることで Confluence の脆弱性を悪用し、Web サーバーに不正アクセスする方法が詳述されている。
Confluence のメモリにコードをロードして実行するという攻撃手法は、よりステルス性の高い武器化されたアプローチであり、防御側に検出される可能性は低い、と Baines は指摘する。
彼は、「数多くのシステムは、ディスクにドロップされたファイルを分析することでしか、システム上の攻撃者を検出できない。Web シェルの構造上、メモリ内の Java をスキャンする優れた方法はない。現実的な解決策は、ネットワーク上で Java を検出することだ」と述べている。
さらに彼は、「すべてが暗号化され、クライアントに証明書を展開する必要があるため、そこには独自の課題がある。長期的な答えは、できる限り全てをインターネットから取得することだ」と付け加えている。
現時点において、VulCheck の KEV (Known Exploited Vulnerabilities) リストには、Confluence の複数の異なる CVE が登録されていると、Baines は指摘する。
彼は、「それらを、VPN の背後に置き始める時期が来たのは間違いない。結局のところ、攻撃対象領域の管理は、これらのより高度な問題を軽減するのに役立つ方法だ」と述べている。
Confluence に限らない OGNL のリスク
Confluence の脆弱性が、現在進行中のキャンペーンで大規模に悪用されていることを考えると、パッチを適用していない組織にとって、侵害のリスクは非常に高いと、Baines は指摘する。
彼は、「我々は、このインメモリ Web シェルを、攻撃者たちが使用しているのを確認している。実際に起こっていることなので、防御者としては、それを認識する必要があり、現時点では高いリスクだと言える」と述べている。
さらに Baines は、インメモリ・アプローチによるリスクは、Confluence に限ったことではなく、Object-Graph Navigation Language (OGNL) にも関連していると付け加えている。OGNL は、開発者がシンプルで簡潔な構文を作成し、Java オブジェクトに対して様々な操作を実行できるようにするものだ。
彼は、「つまり、似たような脆弱性を持つ各種の製品に影響する。これと全く同じ手法が、他の製品に対しても使用できる。たとえば、ネットワークベースの検出や、悪意の Web シェルの Java メモリのスキャンなどだ」と述べている。
Atlassian Confluence の脆弱性 CVE-2023-22527 に関する、かなり深刻な状況と、それを証明する PoC エクスプロイトについて、詳細に解説されている記事ですね。インメモリで攻撃されると、その検知はとても困難になります。ご利用のチームは、ご注意ください。それと、気になったのは、VulCheck が自社の KEV (Known Exploited Vulnerabilities) を作成しているという部分です。CISA が始めたコンセプトですが、それぞれのセキュリティ・ベンダーが、それぞれの KEV を提供する時代になって郁夫でしょうか? とても楽しみな展開です。
IoT OT Security News 
You must be logged in to post a comment.