チームコラボレーションソフト「Confluence」に重大な脆弱性:CVSS9.8とほぼ満点:パッチ公開1週間後には攻撃開始されていた

チームコラボレーションサーバーソフトウェア「Confluence」に存在する重大な脆弱性においてインターネットからの大量のスキャンと攻撃の利用をされていることが発覚しました。

CVE-2021-26084として追跡されているこの脆弱性は、Confluence ServerおよびConfluence Data Centerソフトウェアに影響を与え、通常Confluenceセルフホスト型プロジェクト管理、Wiki、およびチームコラボレーションプラットフォームに影響があるとのことです。

この脆弱性は、Confluence ソフトウェアの大半に実装されている Java コードを操作するためのシンプルなスクリプト言語である OGNL (Object-Graph Navigation Language) に存在しています。

Confluenceソフトウェア群を所有するAtlassian社は、8月25日にパッチをリリースした際、この脆弱性を悪用し認証を回避し、悪意のあるOGNLコマンドを注入することで、パッチが適用されていないシステムを乗っ取ることができることを発表しました。

その結果、この脆弱性はインターネットを介した遠隔操作による悪用が可能であること、また武器となるエクスプロイトを開発するための複雑性は低いと考えられることから、深刻度スコアは最大10点満点中9.8点となりました。

[CONFSERVER-67940] Confluence Server Webwork OGNL injection - CVE-2021-26084 - Create and track feature requests for Atlassian products.

この脆弱性は、Benny Jacob (SnowyOwl) により、Atlassian public bug bounty program を通じて発見されました。

影響を受けるバージョンは、バージョン 6.13.23 より前、バージョン 6.14.0 より 7.4.11 より前、バージョン 7.5.0 より 7.11.6 より前、およびバージョン 7.12.0 より 7.12.5 より前のものが影響を受けます

すでにatlassian社からこの脆弱性に対する対処方法が公開されています。

Confluence Security Advisory - 2021-08-25 | Confluence Data Center and Server 7.20 | Atlassian Documentation

Confluence をすぐにアップグレードできない場合は、一時的な回避策として、Confluence がホストされているオペレーティング・システムで弊社から提供するスクリプトを実行することで、問題を軽減することができます。

パッチ適用の1週間後に攻撃開始

ベトナムのセキュリティ研究者であるTuan Anh Nguyen氏は、現在Confluenceサーバーへの大量スキャンが行われており、攻撃者やプロのバグバウンティハンターがCVE-2021-26084攻撃に脆弱な機能を持つConfluenceシステムを探査しているとコメントしています。

CVE-2021-26084の開発プロセスを「予想よりも比較的単純」と表現しており、このバグが9.8という高い深刻度スコアを獲得した理由を裏付けています。

Confluenceは、世界の大企業で広く利用されているチームコラボレーションソフトウェアであり、CVE-2021-26084の脆弱性は、攻撃者にとって非常に強力なものであることから、今後犯罪グループからの攻撃が活発化することが予想されます。

以前にもConfluenceのバグが広く攻撃に使われたことがあり、今回も同様の悪用パターンが予想されます。

アトラシアン社のウェブサイトでは、ConfluenceはAudi、Hubspot、NASA、LinkedIn、Twilio、Dockerなど、6万社以上の顧客に利用されているとしています。

コメント

タイトルとURLをコピーしました