CVE-2023-22518 の FAQ
全般的な情報
Confluence Server および Data Center で重大な深刻度の認証の脆弱性が見つかりました (CVE-2023-22518)。
このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。
私の Confluence インスタンスは影響を受けますか?
Confluence Data Center および Server のすべてのバージョンは、この脆弱性の影響を受けます。この不適切な認証の脆弱性により、認証されていない攻撃者が Confluence をリセットして、Confluence インスタンスの管理者アカウントを作成することが可能となります。このアカウントを使用すると、攻撃者は Confluence インスタンス管理者が利用できるすべての管理アクションを実行でき、機密性、インテグリティ、可用性の完全な喪失に繋がります。
アトラシアンでは、脆弱性のあるインストールに対して、以下に示す修正バージョン (または最新のバージョン) にパッチを適用することを強く推奨します。
製品 | 修正済みバージョン |
|---|---|
Confluence Data Center および Confluence Server |
|
Confluence 8.6.0 は、Data Center のみのリリースとなり、サーバー ライセンスはサポートされません。8.6 以降へのバージョンにアップグレードする場合、有効な Data Center ライセンスを持っていることを確認してください。
クラウド インスタンスは影響を受けますか?
Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。
当社のインスタンスはインターネットに接続されていません。安全でしょうか?
CVE-2023-22518 の Confluence セキュリティ勧告ページに記載されている最新のパッチを適用することをやはり強くお勧めします。
Confluence インスタンスがインターネットからアクセスできない場合、エクスプロイトのリスクは減少します。
修正版にパッチ適用すれば問題は完全に解決しますか?
最新のパッチで脆弱性 CVE (2023-22518) が修正されていますが、持続的な脅威が存在するかどうかは確認できません。
社内のセキュリティ チームと協力して、パッチ適用前にインスタンスが侵害されていないかどうかを調査することをお勧めします。この調査を支援するために、勧告内の「脅威検知」セクションを参照して、潜在的な侵害の兆候がないかを確認してください。
影響を受けるバージョンの Confluence を実行しています。どうすればパッチ適用するまでの間の脅威を軽減できますか?
Confluence Data CenterとServer インスタンスに直ちにパッチを適用できないお客様は、リスクを軽減するために次の手順を実行することをお勧めします。
1. すぐにシステムをインターネットから切り離す
2. インスタンスのデータを Confluence インスタンス外の安全な場所にバックアップする
Confluence のバックアップに関するガイダンスは、次のページを参照してください。
サイトをバックアップする | Confluence Data Center と Server 8.6 | アトラシアン製品ドキュメント
本番環境バックアップ ストラテジー | Confluence Data Center および Server 8.6 | アトラシアン製品ドキュメント
3.社内のセキュリティ チームに連絡して、潜在的な悪意のある活動がないかを確認するセキュリティ侵害の兆候がないか、勧告の「脅威検知」セクションを確認してください。
4.以下の暫定措置を講じて Confluence インスタンス上の次のエンドポイントへのアクセスをブロックすることで、既知の攻撃ベクトルを軽減する
/json/setup-restore.action/json/setup-restore-local.action/json/setup-restore-progress.action
これはネットワーク層で、あるいは Confluence 設定ファイルに以下の変更を加えることで可能です。
各ノードで、/<confluence-install-dir>/confluence/WEB-INF/web.xml を修正して次のコード ブロックを変更して (ファイルの末尾の </web-app> タグの直前に) 追加します。
<security-constraint>
<web-resource-collection>
<url-pattern>/json/setup-restore.action</url-pattern>
<url-pattern>/json/setup-restore-local.action</url-pattern>
<url-pattern>/json/setup-restore-progress.action</url-pattern>
<http-method-omission>*</http-method-omission>
</web-resource-collection>
<auth-constraint />
</security-constraint>その後、Confluence を再起動します。Confluence インスタンスをインターネットに接続する前に、社内のセキュリティ チームに連絡してください。
注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。
他のアトラシアン製品はこの脆弱性の影響を受けますか?
いいえ、CVE-2023-22518 の影響を受けません。他の製品では特に対応は必要ありません。
影響を受けたかどうかはどうすればわかりますか?
この不適切な認証の脆弱性により、認証されていない攻撃者が Confluence をリセットして、Confluence インスタンスの管理者アカウントを作成することが可能となります。このアカウントを使用すると、攻撃者は Confluence インスタンス管理者が利用できるすべての管理アクションを実行でき、機密性、インテグリティ、可用性の完全な喪失に繋がります。
インスタンスが既に侵害されているかどうかを弊社が確認することはできません。そのため、社内のセキュリティ チームに相談することを強くお勧めします。
潜在的な侵害の兆候については、勧告の「脅威検知」セクションを参照してください。
インスタンスが侵害されていました。どうすればよいですか?
内部のセキュリティ チームに詳細な調査を依頼することを強くおすすめします。
この侵害はインスタンスのコンテンツをリセットすることから構成されるため、以前のバックアップから復元することがデータを復元する唯一の方法です。
次に、以下の「Confluence インスタンスを復元するには何をする必要がありますか?」セクションのガイドラインを参照してください。インスタンスの復元の一環として実行すべき推奨手順が記載されています。
Confluence インスタンスを復元するには何をする必要がありますか?
以下は、Confluence インスタンスを復元するために実行することを推奨する手順のガイダンスです。
インスタンスをシャットダウンし、サーバーをインターネットから切断します。
エクスプロイト後の悪意のある活動については、社内のセキュリティ チームに連絡して確認してください。セキュリティ侵害の兆候がないか、勧告の「脅威検知」セクションを確認してください。
Confluence を回復するには、オペレーティング システムを再インストールし、インスタンスが危険にさらされる前に作成されたバックアップから Confluence データを復元し、Confluence インスタンスに最新のパッチを適用することを強くお勧めします。
バックアップを復元する方法については、「サイトの復元」ドキュメント ページを参照してください。
脆弱性および修正バージョンの詳細は、勧告を参照してください。
Confluence をバックアップから復元しても、まだ危険にさらされていますか?
次に、社内のセキュリティ チームに連絡して、インスタンスへの影響を調査し、Confluence インスタンスの復元に必要な手順を把握してください。
Confluence インスタンス以外の安全な場所からインスタンスのバックアップを復元することを強くお勧めします。これは、悪意のあるプラグインによる永続化のリスクがあるためです。
次に、上記の「Confluenc eインスタンスを復元するには何をする必要がありますか?」セクションのガイドラインを参照してください。インスタンスの復元の一環として実行すべき推奨手順が記載されています。
Confluence ログで何を探すべきですか?
社内のセキュリティ チームと協力して、さらに調査してください。
以下は、各 Confluence インスタンスのログを確認するために実行することを推奨する手順のガイダンスです。
1. エンドポイント json/setup-restore.action :
- 次のログファイルの場所に移動し
<confluence-install-dir>/logs/conf_access_log.<DATE>.log、以下のログ エントリを探します/json/setup-restore.actionへのリクエストを検索する/json/setup-restore-progress.actionへのリクエストを検索する
推奨コマンド:
grep "/json/setup-restore*" <confluence-install-dir>/logs/conf_access_log*
[02/Nov/2023:19:40:01 +0530] - http-nio-8090-exec-1 127.0.0.1 POST /json/setup-restore.action HTTP/1.1 403 46ms 1198 http://YOURSERVERHOST/login.action?os_destination=%2Findex.action&permissionViolation=true Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
[02/Nov/2023:19:40:08 +0530] - http-nio-8090-exec-4 127.0.0.1 POST /json/setup-restore.action?synchronous=false HTTP/1.1 302 78ms - http://YOURSERVERHOST/json/setup-restore.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
[02/Nov/2023:19:40:09 +0530] - http-nio-8090-exec-3 127.0.0.1 GET /json/setup-restore-progress.action?taskId=5a7af4cd-698d-4e3d-8bd4-a411c779d519 HTTP/1.1 200 24ms 277 http://YOURSERVERHOST/json/setup-restore.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36- 次のログ ファイルの場所に移動し
<confluence-home-dir>/logs/atlassian-confluence.log、次のログ エントリを探します/json/setup-restore.actionへのリクエストを検索する
推奨コマンド:
grep "/json/setup-restore*" <confluence-home-dir>/logs/atlassian-confluence.log*
2023-11-02 19:40:08,993 ERROR [http-nio-8090-exec-4 url: /json/setup-restore.action] [atlassian.confluence.setup.DefaultSetupPersister] progessSetupStep setupStack is empty of actions.
-- url: /json/setup-restore.action | userName: anonymous | action: setup-restore | referer: http://YOURSERVERHOST/json/setup-restore.action | traceId: ba2d44ef8528c78d
…
2023-11-02 19:41:04,263 INFO [Long running task: Importing data] [confluence.importexport.actions.ImportLongRunningTask] runInternal Beginning import by user null2. エンドポイント json/setup-restore-local.action :
- 次のログファイルの場所に移動し
<confluence-install-dir>/logs/conf_access_log.<DATE>.log、以下のログ エントリを探します/json/setup-restore-local.actionへのリクエストを検索する
推奨コマンド:
grep "/json/setup-restore*" <confluence-install-dir>/logs/conf_access_log*
[02/Nov/2023:19:54:47 +0530] - http-nio-8090-exec-2 127.0.0.1 POST /json/setup-restore-local.action HTTP/1.1 200 41ms 1163 http://YOURSERVERHOST/json/setup-restore-local.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
…
[02/Nov/2023:19:54:53 +0530] - http-nio-8090-exec-1 127.0.0.1 POST /json/setup-restore-local.action HTTP/1.1 200 29ms 1495 http://YOURSERVERHOST/json/setup-restore-local.action Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36- 次のログ ファイルの場所に移動し
<confluence-home-dir>/logs/atlassian-confluence.log、次のログ エントリを探します/json/setup-restore-local.actionへのリクエストを検索する
推奨コマンド:
grep "/json/setup-restore*" <confluence-home-dir>/logs/atlassian-confluence.log*
2023-11-02 19:54:53,663 ERROR [http-nio-8090-exec-1 url: /json/setup-restore-local.action] [atlassian.confluence.setup.DefaultSetupPersister] progessSetupStep The setupStack is empty; the last action should always be 'complete', which will prohibit further setupStack activity! Odds are it wasn't in this case.
-- url: /json/setup-restore-local.action | userName: anonymous | action: setup-restore-local | referer: http://YOURSERVERHOST/json/setup-restore-local.action | traceId: bde618e401be41a0
…
2023-11-02 19:41:04,263 INFO [Long running task: Importing data] [confluence.importexport.actions.ImportLongRunningTask] runInternal Beginning import by user nullConfluence インスタンスに悪意のあるプラグインがあるかを調べるにはどうすればよいですか?
内部のセキュリティ チームに詳細な調査を依頼することを強くおすすめします。
何かをする前に、インスタンスをシャットダウンして、サーバーをインターネットから切断することを強くお勧めします。
悪質なプラグインを確認することを強くお勧めします。
1. 以下に列挙する可能性のあるディレクトリを確認します
<confluence-home-directory>/bundled-plugins<confluence-home-directory>/plugins-cache<confluence-home-directory>/plugins-osgi-cache<confluence-home-directory>/plugins-temp<confluence-home-directory>/logs<confluence-home-directory>/temp
侵害の性質上、完全なリストを提供することはできないことにご注意ください。
2. Confluence データベースで、次の SQL クエリを実行します。
select PLUGINDATAID, PLUGINKEY, FILENAME, LASTMODDATE from PLUGINDATA order by LASTMODDATE ASC;
select BANDANAVALUE from BANDANA where BANDANAKEY = 'plugin.manager.state.Map';3. PLUGINDATA データベース テーブルおよび plugincache ディレクトリの内容を、以前のバックアップと合わせて確認して、疑わしいプラグインを特定します。
4. さらに、Confluence の監査ログ機能を使用して、最近インストールしたアプリを確認することもできます
これらの場所および手順は、疑わしいプラグインがあるかどうかを特定したり、社内のセキュリティ チームが侵害の可能性をさらに調査したりするためのガイドラインとしての使用を前提としている点に注意してください。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。