Atlassian Confluence RCE 脆弱性: CVE-2022-26134
トピック: Attacks and Threat Actors
2022年6月9日、Vishal Khandelwal
脆弱性の詳細
Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。
この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。
リバースシェルの構築、強制DNSリクエストの実行、データ収集、新しい管理者アカウントの作成など、さまざまな手法で多様なエクスプロイトが作成されました。
脅威アクターは、HTTPリクエストのURIに悪意のあるペイロードを配置します。現状では、実際に使われている概念実証(PoC)のほとんどはGETメソッドを使用していますが、どのようなリクエストメソッドでも、たとえ無効なリクエストメソッドであっても、同じ効果が得られると思われます。
CVSS: 9.8 | クリティカル | 解析待ち
CVE: CVE-2022-26134
攻撃の検知と防御
この脆弱性の修正として、Confluence にパッチを当てます。Atlassianはその詳細な推奨事項を提供しています。
バラクーダのOSコマンドインジェクションおよび他のコマンドインジェクションシグネチャのシグネチャパターンは、現在野生で見られるエクスプロイトの試みを阻止しています。Atlassianは当初、Barracuda Web Application Firewallの顧客が手動で適用できる基本パターンを提供していました。今ではWAFルールを提案していませんが、アップデートを適用できない場合の緩和策としては今なお安全かつ効果的であるといえます。
当社のアプリケーションセキュリティチームは、上述の手動ステップを自動化する新しいシグネチャを展開しようとしているところです。このシグネチャはパターンが一般的であるため、アクティブモードでは自動的には適用されません。Atlassian Confluenceを使用中ならば誰でも、このシグネチャを有効にできます。また、そのためのバラクーダのサポートもあります。
この緩和策に必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。
設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。
原文はこちら
Atlassian Confluence RCE vulnerability: CVE-2022-26134
June 9, 2022 Vishal Khandelwal
https://blog.barracuda.com/2022/06/09/atlassian-confluence-rce-vulnerability-what-you-need-to-know/