エクスプロイト&脆弱性
Atlassianの「Confluence」にリモートコード実行の脆弱性(CVE-2022-26134)が発見される
米国時間2022年6月2日、Atlassianは同社が提供する情報共有ツール「Confluence 」に関する脆弱性(CVE-2022-26134)を公表しました。本脆弱性が悪用されると、未認証のユーザによって遠隔で任意のコードを実行される可能性があります。
米国時間2022年6月2日、Atlassianは同社が提供する情報共有ツール「Confluence Server」と「Confluence Data Center」に関する脆弱性(CVE-2022-26134)を公表しました。本脆弱性が悪用されると、未認証のユーザによって遠隔で任意のコードを実行(RCE:Remote Code Execution)される可能性があります。Atlassianでは本脆弱性を悪用した攻撃を既に確認しているため、対象の製品を利用している組織は早急に回避策の適用を検討することを推奨しています。
最初に本脆弱性の発見と報告を行ったサイバーセキュリティ企業「Volexity」のリサーチチームのブログによると、彼らの顧客のWebサーバにおいて、JSP Webシェルがディスクに書き込まれるといった不審な動作が確認されたことからインシデント調査が開始されました。そのWebサーバはインターネットに外部公開されており、Atlassian Confluenceが稼働していました。Confluence Serverが侵害されるとメモリ上にWebシェルが展開されて、攻撃者は商用のペネトレーションテストツール「Meterpreter」や「Cobalt Strike」による遠隔操作が可能になり、加えて、「China Chopper」と任意のファイルをアップロードするためのWebシェルが追加でディスクに書き込まれていました。その後、攻撃者によって、感染システムに対して、パスワード情報(/etc/passwd, /etc/shadow)の調査、Confluenceローカルデータベースの探索とユーザテーブルのダンプ、フォレンジック調査妨害のためのWebアクセスログの改竄などを行うコマンドの実行が確認されています。
影響を受ける対象製品
- Confluence Server
- Confluence Data Center
影響を受けるバージョンなどの情報については、Atlassianから提供される最新の情報をご確認ください。
■被害に遭わないためには&トレンドマイクロの対策
まず、ユーザはベンダによる本脆弱性を修正したバージョンや修正プログラム(パッチ)が利用可能になった時点ですぐに適用することを強く推奨します。2022年6月4日時点で、Atlassianより本脆弱性を修正したとされるバージョンがリリースされています。影響を受ける環境を利用している場合には、出来る限り早急に修正されたバージョンに更新することを推奨します。
本脆弱性を修正したバージョン
- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1
回避策
Atlassianによると、本脆弱性を修正したバージョンをすぐに適用することができない場合には、一時的な回避策として以下のいずれかを検討することを推奨しています。
- Confluence ServerおよびConfluence Data Centerへのインターネットからの接続を制限する
- Confluence ServerおよびConfluence Data Centerを無効にする
- .jarファイルを置き換える(手順についてはAtlassianのアドバイザリを御確認ください)
トレンドマイクロ製品による保護及び調査
パターンファイルでのマルウェア検出
サイバー犯罪者が遠隔操作のために使用するWebシェル「Chopper」とその亜種に関して、トレンドマイクロ製品では「Backdoor.JS.CHOPPER」などの検出名で検出対応しています。今回のVolexityの調査の中で観測された個別の検体(ハッシュ値:4c02c3a150de6b70d6fca584c29888202cc1deef)に関しては「TROJ_FRS.0NA103CQ21」として検出します。
サイバー犯罪者による遠隔操作通信(C&C通信)の検出
サイバー犯罪者が遠隔操作に使用するサーバ(C&Cサーバ)について、トレンドマイクロ製品ではWebレピュテーションサービス(WRS)機能などで通信をブロックします。今回の事例で、VolexityがC&CサーバとしてIOC(Indicator of Compromise、侵害の痕跡)を公開しているIPアドレスに関しても、実際の挙動を解析の上対応しています。
Trend Micro Cloud One – Network Security and TippingPoint ThreatDV Malware Detection Filters
Trend Micro Cloud One – Network SecurityまたはTippingPointをご利用のお客様は、以下のフィルタによって本脆弱性を突いた攻撃を検知/ブロックすることができます。
- Filter 32892: OGNL Entity Usage in an HTTP URI
Trend Micro Vision One
Trend Micro Vision Oneをご利用のお客様は、Trend Micro Apex Oneなどのエンドポイント製品と連携したXDR機能を活用することができます。IoC(Indicator of Compromise、侵害の痕跡)を用いて、この脆弱性を悪用した潜在的な活動があったかどうかを特定して調査します。
- Observed Attack Techniques(OAT)による調査
トレンドマイクロのエンドポイント/サーバセキュリティ製品と共にTrend Micro Vision Oneをご利用のお客様の環境においては、Observed Attack Techniques(OAT)機能によって、本脆弱性を悪用するマルウェアの不審な挙動を確認することができます。
JavaベースのWebアプリケーションであるAtlassian Confluence製品の場合、Volexityの記事によって説明されているように、攻撃者が本脆弱性の悪用を試みて、Linuxシェルを使用して攻撃を実行しようとした際に検知します。
トレンドマイクロでは、引き続き本脆弱性を悪用した攻撃に対する監視と調査を行っておりますので、追加の情報がある場合は改めてお知らせいたします。