CVE-2023-22515 の FAQ
全般的な情報
A critical severity authentication vulnerability was discovered in Confluence Server and Data Center (CVE-2023-22515).
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを更新します。
私の Confluence インスタンスは影響を受けますか?
The Confluence Data Center and Server versions listed below are affected by this vulnerability. Publicly accessible Confluence Data Center and Server versions as listed below are at critical risk and require immediate attention. Customers using these versions should upgrade your instance as soon as possible.
8.0 より前のバージョンはこの脆弱性の影響を受けません。
製品 | 影響を受けるバージョン |
---|---|
Confluence Data Center および Confluence Server |
|
アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにアップグレードすることを推奨しています。
製品 | 修正済みバージョン |
---|---|
Confluence Data Center および Confluence Server |
|
クラウド インスタンスは影響を受けますか?
ご利用のConfluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。
Why am I being redirected to setup/finishsetup.action or seeing 403/404 errors after I’ve applied the mitigation steps?
The mitigation actions noted in the Advisory are not a replacement for upgrading your instance; you must upgrade as soon as possible. The mitigation steps will block an attacker's ability to create an administrator account in Confluence, however, it won’t prevent an attacker from continuously trying to exploit the instance which may result in a Denial of Service attack. Once the upgrade is complete, you will no longer receive the HTTP Status errors or redirects to /setup/finishsetup.action.
修正版にアップグレードすれば問題は完全に解決しますか?
いいえ。インスタンスがすでに攻撃されている場合、アップグレードしても攻撃は解消されません。
As well as upgrading, customers can follow "Can we determine if Confluence has already been compromised?", which is available in this FAQ, to check for indicators of compromise. If any evidence is found, you should assume that your instance has been compromised and evaluate the risk of flow-on effects.
影響を受けるバージョンの Confluence を実行しています。どうすればアップグレードするまでの間の脅威を軽減できますか?
Confluence をアップグレードできない場合は、暫定措置として、影響を受けるインスタンスへの外部ネットワーク アクセスを制限することを推奨します。
さらに、Confluence インスタンスの /setup/*
エンドポイントへのアクセスをブロックすることで、この脆弱性に対する既知の攻撃ベクトルを軽減することができます。これはネットワーク層で、あるいは Confluence 設定ファイルに以下の変更を加えることで可能です。
1. 各ノードで、/<confluence-install-dir>/confluence/WEB-INF/web.xml
を修正して次のコードブロックを変更して (ファイルの末尾の </web-app>
タグの直前に) 追加します。
<security-constraint>
<web-resource-collection>
<url-pattern>/setup/*</url-pattern>
<http-method-omission>*</http-method-omission>
</web-resource-collection>
<auth-constraint />
</security-constraint>
2. Confluence を再起動します。
この緩和策により、Confluence 管理者が Confluence の設定アクションをトリガーすることを防ぎます。これには、Confluence をゼロからセットアップしたり、Data Center との間で移行したりすることが含まれます。これらのアクションが必要な場合は、web.xml ファイルからこれらの行を削除する必要があります。Confluence の修正バージョンを実行していない場合は、これらの行を再度追加してください。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
Yes! While ensuring instances are not exposed to the public internet greatly reduces the attack surface, we strongly recommend applying the latest version security patch.
当社のインスタンスはインターネットに接続されていません。安全でしょうか?
If the Confluence instance cannot be accessed from the general internet, the risk of an exploit/attack originating from there is reduced.
この脆弱性の深刻度が重大であることや、インスタンスにアクセス可能なさまざまな方法を踏まえ、軽減策が必要な場合は社内のネットワーク/セキュリティ チームとともに対策にあたってください。ただし安全のため、CVE-2023-22515 の Confluence セキュリティ勧告ページのガイダンスは引き続き適用されます。
Confluence がすでに攻撃されているかどうかを確認することはできますか?
Per our security advisory CVE-2023-22515, the following are indicators of a potential compromise:
- unexpected members in the
confluence-administrators
group - 予期せず新しく作成されたユーザー アカウント
- requests to
/setup/*.action
in network access logs - presence of
/setup/setupadministrator.action
in an exception message inatlassian-confluence-security.log
in the Confluence home directory
Please work with your local security team or a specialist security forensics firm for further investigation, and contact Atlassian Support for additional assistance.
私のインスタンスが攻撃されていました。どうすればよいですか?
We strongly recommend involving your local security team for further investigation. If it is determined that your Confluence Server/DC instance has been compromised, our advice is to immediately shut down and disconnect the server from the network/Internet. Also, you may want to immediately shut down any other systems which potentially share a user base or have common username/password combinations with the compromised system.
Before doing anything else you will need to work with your local security team to identify the scope of the breach and your recovery options. If your Confluence instances have been compromised by CVE-2023-22515, threat attackers hold full administrative access and can perform any number of unfettered actions including - but not limited to - exfiltration of content and system credentials, and installation of malicious plugins.
If you believe your Confluence instance was compromised, contact Atlassian Support as Atlassian assistance is required to recover and protect your instance. Please include web server access logs (with the IP address of the attacker) in the data that is provided for further investigation.
他のアトラシアン製品はこの脆弱性の影響を受けますか?
No, they are not affected by CVE-2023-22515. No action is required for other products.