本文の内容は、2022年6月3日にAlberto Pellitteriが投稿したブログ(https://sysdig.com/blog/cve-2022-26134-atlassian-confluence/)を元に日本語に翻訳・再構成した内容となっております。
Atlassian Confluence に新たなゼロデイ脆弱性が発見され、活発に悪用されています。この脆弱性 CVE-2022-26134 は、Confluence Server および Confluence Data Center のサポートされるすべてのバージョンに影響し、認証されていないユーザーがリモートで任意のコマンドを実行することができます。
Atlassian チームは公式ツイートでこの脆弱性を確認し、さらにセキュリティアドバイザリーを公開し、顧客にアップデートしています。
Confluence Server と Confluence Data Center のうち、どのバージョンが最も早く影響を受けるかは、まだ明らかになっていません。ただ、この脆弱性はすでに攻撃者によって悪用されていることが分かっています。
UPDATE: この問題の修正を含むバージョン 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 および 7.18.1 がリリースされました。
Confluence の修正されたバージョンにアップグレードすることを強くお勧めします。
Rapid7 は、このエクスプロイトが実際にどのように機能するかについて報告しています。非常にシンプルで、URI 文字列に ${@java.lang.Runtime@getRuntime().exec(“whoami”} } のような文字列を配置するだけです。
この記事では、脆弱性 CVE-2022-26134 について現在わかっていること、なぜそれが危険なのか、そして Falco ルールで検出する方法について説明します。
Atlassian Confluenceとは?
Confluenceは、チームのコラボレーションとナレッジ共有を簡素化する、非常に人気の高いWikiツールです。2021年8月、Atlassianは、脅威者がパッチを適用していないConfluence ServerおよびData Centerインスタンス上で任意のコードを実行できる脆弱性CVE-2021-26084を公開しました。
それから約1年後の米国メモリアルデーの週末に、VolexityはConfluenceに新たな脆弱性を発見しました。Volexity のインシデント調査中に不審な活動が検出された後、新しい脆弱性が野放しにされていることを示す証拠が見られたのです。
この場合、CVE-2022-26134 は未認証のユーザーによるリモートコード実行を可能にする重大な脆弱性です。Atlassianは最新のロングタームサポートリリースにアップグレードすることを推奨しています。Volexity により、現在複数の脅威者がこのエクスプロイトを利用していることが示唆されています。
CVE-2022-26134 の影響について
脆弱性 CVE-2022-26134 の影響は、サポートされている Confluence Server および Data Center のすべてに影響するため、広範囲に及びます。Atlassian Cloud サイトは本脆弱性の影響を受けません。
この脆弱性を悪用すると、認証されていないユーザーが影響を受けるシステム上でリモートコマンドを実行することができます。つまり、攻撃者は認証なしで任意のコマンドを実行し、影響を受ける Confluence 環境を完全に制御することができます。
簡単に言うと、影響を受ける Confluence サーバーまたはデータセンターのインスタンスがネットワーク上で到達可能である限り、悪意のある行為者によって悪用される可能性があるということです。このため、この脆弱性は致命的であると考えられています。しかし、この記事を書いている時点では、CVE に CVSS スコアはまだ割り当てられていません。
また、悪用方法はまだ公開されていません。悪用の複雑さや詳細がまだ知られていないため、予防や検出が困難になっています。
CVE-2022-26134の検出
Volexityのブログでは、顧客のホストで見つかった攻撃について報告されています。彼らが報告したシナリオからすぐに疑わしく思えるのは、ホストのメモリからダンプされた実行が、奇妙なプロセスツリーに属していることです。以下のようなものです。
|java |----bash |--------python |------------bash
そして、bashプロセスは、pythonプロセスによって生成され、その父親は別のbashプロセスであり、次にjavaのルートプロセス名です。このような種類の実行は、Falcoで簡単に検出することができます。
FalcoはCNCFのインキュベートプロジェクトで、クラウドネイティブ環境での異常な実行を実行時に検出するオープンソースツールです。先ほどのプロセスツリーのような怪しい実行を検出するためには、このFalcoのルールを利用します。
- macro: java_bash_python_bash condition: proc.name in (shell_binaries) and proc.pname contains "python" and proc.aname[2] in (shell_binaries) and proc.aname[3]=java - macro: java_python_bash condition: proc.name in (shell_binaries) and proc.pname contains "python" and proc.aname[2]=java - rule: Suspicious Java Child Processes desc: Detect suspicious process trees involving Java that are used to exploit Remote Code Execution condition: spawned_process and (java_bash_python_bash or java_python_bash) output: Detecting Suspicious Java Child Processes (command=%proc.cmdline connection=%fd.name user=%user.name user_login uid=%user.loginuid container_id=%container.id image=%container.image.repository) priority: WARNING
さらに Volexity チームは Confluence サーバーを悪用または相互作用する IoC も提供しています。これらの指標のいずれかがインスタンスのアウトバウンドで到達した時にアラートをトリガーしたい場合、報告された IP アドレスで c2_server_ip_list リストを埋め、次のルールを使用することが出来ます:
- list: c2_server_ip_list items: [] - rule: Outbound Connection to C2 Servers desc: Detect outbound connection to command & control servers condition: outbound and fd.sip in (c2_server_ip_list) output: Outbound connection to C2 server (command=%proc.cmdline connection=%fd.name user=%user.name user_loginuid=%user.loginuid container_id=%container.id image=%container.image.repository) priority: WARNING tags: [network]
これらの指標は、他の多くの指標とともに、すでにSysdigのお客様に提供されており、Sysdig脅威リサーチチームが発見次第、常に更新される予定です。
CVE-2022-26134 の緩和策
Confluence をすぐにアップグレードできない場合、一時的な回避策として、製品の特定のバージョンに対して以下のファイルを更新することで CVE-2022-26134 の問題を緩和することができます。Atlassianはこの問題の修正を含むバージョン 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1 をリリースしています。セキュリティアドバイザリーには、脆弱性のある Confluence サーバーを更新する方法の詳細が記載されています。
まとめ
CVE-2022-26134 は、Confluence Server および Data Center のサポートされるすべてのバージョンに影響を与える新しい重大な脆弱性です。この脆弱性は既に悪意のある者によって悪用され、任意の実行を行い、影響を受けるシステムを完全に制御できるようになっています。Atlassianチームはこの問題を解決するためのバージョンをリリースしていますが、影響を受けるインスタンスの公開を防ぐために、できるだけ早くアップデートするか、インスタンスを無効化するか、インターネットからのアクセスを減らすことをお勧めします。
もし、これらの措置を取ることができない場合は、侵入の可能性を検出するために Falco を採用することができます。
その後、もしFalcoについてもっと知りたいのであれば:
- まずはFalco.orgをご覧ください。
- GitHubでFalcoプロジェクトをチェックしてください。
- Falco コミュニティに参加する。
- Falco Slackでメンテナーと交流する。
- ツイッターで @falco_org をフォローする。