High-risk Atlassian Confluence RCE fixed, PoC available (CVE-2024-21683)
2024/06/03 HelpNetSecurity — Atlassian Confluence の Server/Data Center をセルフホストしている場合には、最新のバージョンへとアップグレードし、すでに PoC と技術詳細が公開されている、深刻度の高い RCE の脆弱性 (CVE-2024-21683) を修正すべきである。
CVE-2024-21683 について
Confluence Server/Data Center は、ナレッジベース/ドキュメントを管理し、コラボレーションの標準化を推進するために、企業で広く使われているソフトウェア・ソリューションである。
CVE-2024-21683 はリモート・コード実行の脆弱性であり、また、特別に細工された JavaScript ファイルを介して 武器化することは容易であり、その悪用の際にはユーザーによる操作が不要となる。ただし、以下の前提条件を満たす必要があるため、Critical とは見なされていない:
- 攻撃者は、Confluence にログインしている必要がある。
- 攻撃者は、新しいマクロ言語を追加するための、高度な権限を持つ必要がある。
- Configure Code Macro > Add a new language に、悪意の Java コードを含む JavaScript ファイルがアップロードされている必要がある。
Sonicwall の研究者たちは、「この脆弱性は、”Configure Code Macro” セクションの “Add a new language” 機能における、入力検証メカニズムの欠陥に起因する。この機能の用途としては、新たなコードブロックのマクロ言語定義のアップロードによる、フォーマットやシンタックス・ハイライトのカスタマイズなどがある。つまり、カスタム・ブラシの構文に従って、Javascript ファイルがフォーマットされることを想定している。したがって、不十分な検証を回避する認証された攻撃者は、ファイルに埋め込まれた悪意の Java コードを、サーバ上で実行できるようになる」と述べている。
CVE-2024-21683 は、セキュリティ研究者 Huong Kieu により発見/報告され、その PoC は GitHub で公開されている。
Confluence を早急にアップグレードする
Sonicwallの研究者は、「Confluence Server が、組織のナレッジベースを維持する上で、きわめて重要な役割を担っていることを考慮する必要がある。ユーザーに対して強く推奨されるのは、最新バージョンへとインスタンスをアップグレードすることだ」とアドバイスしている。
これまでにおいて、Data Center と Confluence Server の脆弱性は、攻撃者により頻繁に悪用されてきた。
Atlassian Confluence に、RCE の脆弱性 CVE-2024-21683 が発生しました。CVSS を調べてみたところ、NVD は 8.8 と評価していました。しかも、PoC もリリースされていますので、ご利用のチームは、ご注意ください。なお、NVD ですが、CVSS 4.0 対応がデフォルトとして始まりました。したがって、上記のリンクをクリックしても、CVSS 3.1 タブを選ばないと、スコアが出てきません。よろしければ、Atlassian Confluence で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.