Atlassian Confluence の脆弱性 CVE-2023-22527：Titan を介したクリプトジャッキングで悪用

Atlassian Confluence Vulnerability CVE-2023-22527 Exploited for Cryptomining

2024/10/30 SecurityOnline — Atlassian Confluence サーバの脆弱性 CVE-2023-22527 を悪用する脅威アクターが、被害者のサーバを攻撃した上でリソースを窃取していることが、先日の Trend Micro レポートにより判明した。それらの脅威アクターたちは、Titan Network から報酬を得ているが、この分散型のオープンソース・プラットフォームは、ハードウェアを価値のあるデジタル資産に置き換えるものである。

その攻撃シーケンスは、Confluence サーバに対する、認証を必要としないテンプレート・インジェクションの脆弱性を悪用することから始まり、最終的に攻撃者は、侵害したシステム上でリモート・コマンドを実行できるようになる。Trend Micro の研究者たちは、「それにより、認証を必要としない攻撃者は、リモート・コード実行 (RCE) を達成し、Titan Network を暗号通貨マイニングに活用している」と述べている。

イニシャル・アクセスを取得した攻撃者たちは、被害者のマシン上に一連のシェル・スクリプトを展開し、サーバ環境を評価するためのコマンドを慎重に実行していく。これらのコマンドには、IP アドレスとオペレーティング・システムの詳細を識別するものが含まれる。つまり、”ls” や “cat /etc/os-release” などのコマンドをリモートで実行することで、重要なシステム情報を列挙する攻撃者は、ペイロード展開の準備を整えていく。

Titan Network は、DePIN (decentralized physical infrastructure network) をベースとしており、CPU パワー／ストレージ／帯域幅を共有するユーザーたちに、経済的な報酬を提供するものである。しかし、このモデルでは “Titan edge nodes” と呼ばれる侵害済のマシンを介して、攻撃者が報酬を得るシナリオも成立し得る。つまり、攻撃者は、被害者のシステムに Titan のソフトウェアを展開することで、それらのマシンを Titan エコシステムに統合し、そのコンピューティング・パワーから利益を盗み取る。

Trend Micro は、「その経済的インセンティブとネットワーク設計により、リソースを提供するコントリビューターは報酬を手にし、エンド・ユーザーは最新クラウド・サービスに匹敵する高品質／高信頼性のハードウェアを手にする」と述べている。

そのデプロイメントには、”/tmp” ディレクトリ内に戦略的に配置された複数のシェル・スクリプトが含まれる。それぞれのスクリプトは、Titan バイナリ (titan.tar.gz) のアップロードから、環境変数の変更、そして Titan エッジ・プロセスの実行にいたるまでの、さまざまなタスクを実行する。なお、”LD_LIBRARY_PATH” ではなく “LD_LIZBRARY_PATH” と記載されている部分は、スクリプトの間違いではなく、検出メカニズムを回避するための難読化の可能性を示唆している。

ある攻撃の例では、一連のコマンドを使用する脅威アクターが、 Titan Network “Cassini Testnet” との通信を確立している。Trend Micro が指摘するように、このネットワークは、DPOS (Delegated Proof of Stake) コンセンサス・メカニズムで構成されており、TTNT テスト・トークンを元手にすることで、ユーザーは報酬を獲得する。つまり、このプロセス全体が自動化されているため、攻撃者は一連のスクリプトをリモートで制御し、システムのコンフィグとリソースを変更することで、クリプト・マイニングを最適化している。

Trend Micro はレポートで、「このような高度な侵入に対する主要な防御策として、最新のセキュリティ・パッチの維持および、ネットワークとファイルの厳格な監視、堅牢なアクセス制御などが挙げられる。Titan Network のエクスプロイトは、クリプト・ジャッキングに新しい側面を加えるものであり、この種の分散型インフラ・ネットワークは、攻撃者にとって魅力的なターゲットになる」と指摘している。

Titan Network というものがあるのですね。かなり尖ったコンセプトですが、それを悪用する脅威アクターもいるわけです。クリプトジャッキングに似た話ですが、その斜め上を行っている感じがします。よろしければ、CVE-2023-22527 で検索と、Crypto Mining で検索を、ご参照ください。