Atlassian Confluence および Data Center サーバーに影響を与える、活発に悪用されている重要な脆弱性 CVE-2022-26134 に対する概念実証のエクスプロイトが公開されました。
Confluence Data Center および Server において、重大な深刻度を持つ未認証のリモートコード実行の脆弱性が現在活発に悪用されていることが Atlassian により確認されました。OGNL インジェクションの脆弱性により、未認証のユーザーが Confluence Server または Data Center インスタンス上で任意のコードを実行することが可能です。
CVE-2022-26134 として追跡されている脆弱性は、OGNL インジェクションを通じて悪用される未認証のリモートコード実行の重大な脆弱性で、バージョン 1.3.0 以降のすべての Atlassian Confluence および Data Center 2016 サーバーに影響を及ぼします。
攻撃に成功すると、未認証のリモート攻撃者が新しい管理者アカウントを作成し、コマンドを実行し、最終的にサーバーを乗っ取ることができます。
この脆弱性は、Volexity社が複数の攻撃者が攻撃に利用していることを発見し、公開されました。当時、パッチは提供されておらず、アトラシアンは管理者にサーバーをオフラインにするか、インターネットからアクセスできないようにブロックするようコメントしています。
アトラシアンは脆弱性を修正するためのセキュリティアップデートをリリースしましたが、その矢先に攻撃はエスカレートしてしまいました。
Confluence のエクスプロイトが公開
アトラシアンのConfluenceの脆弱性に対する概念実証のエクスプロイトが一般に公開されました。この脆弱性は、ネット上で広く拡散され、研究者たちは、この脆弱性がいかに些細なものであるかをTwitterで共有しました。
サイバーセキュリティ企業GreyNoiseのCEOであるAndrew Morris氏は、Atlassianの脆弱性を悪用する23のユニークなIPアドレスを確認し始めたとツイートしています。
GreyNoiseは、この脆弱性を悪用しようとするユニークなIPアドレスの数が約10倍に増え、211のユニークなIPアドレスになったことを報告しています。
オンラインに投稿された Confluence の脆弱性は、新しい管理者アカウントの作成、DNS リクエストの強制、情報収集、リバースシェルの生成の方法を示しています。
Confluence サーバーに今すぐパッチを
Confluence または Data Center サーバーのセキュリティ脆弱性にまだパッチを適用していない場合、攻撃者がそれらを侵害する前に直ちに適用する必要があります。
この問題の修正を含むバージョン 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1 をリリースしました
何らかの理由でサーバーにすぐにパッチを当てることができない場合、アトラシアンは Confluence 7.0.0 からバージョン 7.18.0 までの緩和策を提供しています。
Confluence サーバーは企業ネットワークへの初期アクセスの魅力的なターゲットであるため、デバイスを直ちにアップデートするか、緩和策を講じるか、オフラインにする必要があります。
最悪の場合、ランサムウェアの展開やデータの盗難など、より重大な攻撃につながることになります。
Comments