CVE-2023-22523 の FAQ
全般的な情報
この脆弱性が悪用されると、攻撃者は Assets Discovery エージェントがインストールされているマシン上で権限が要求される RCE (リモート コード実行) を実行できるようになります。Asset Discovery アプリ (旧 Insight Discovery) と Asset Discovery エージェントの間に脆弱性が存在します。
このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。
私はこの勧告の影響を受けますか?
セキュリティ勧告で特定されている Asset Discoveryアプリのすべてのバージョンがこの脆弱性影響を受けます。エージェントを使用しているお客様は、インスタンスを保護するために直ちに対応が必要です。
必要な対応: Atlassian Discovery エージェントを使用している場合は、最初にすべてのエージェントをアンインストールする必要があります。エージェントをアンインストールしたら、Asset Discovery アプリ最新の修正バージョンを適用して、Asset Discovery Discovery エージェントを再インストールしてください。
指示に従ってエージェントをアップデートすることに加えて、パターン ファイルに変更を加えている場合には、デフォルトのパターン ファイルから開始してカスタム変更を適用することをお勧めします。設定ファイルは再利用できます。
Asset Discovery と Discovery エージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
エージェントをすぐにアンインストールできない場合は、セキュリティ勧告の軽減オプションを確認してください。
エージェントなしで Asset Discovery を使用している場合は、この脆弱性の影響を受けません。ただし、将来エージェントを使用する場合は、Asset Discovery をアップデートすることで脆弱性を完全に軽減することを強くお勧めします。
この勧告は Cloud にも当てはまりますか?
はい、この脆弱性は、オプションのスタンドアロンの Asset Discovery アプリとエージェントの間に存在し、Cloud またはオンプレミスでの使用に関係なく Jira Service Management お客様はダウンロードできます。
私は JSM Cloud ユーザーです。Asset Discovery はインストールされていますか?
Atlassian Marketplace 経由でダウンロードできる Asset Discovery は、Jira Service Management Cloud、Data Center、または Server のエージェントの有無にかかわらず使用できる、オプションのスタンドアロン ネットワーク スキャン ツールです。したがって、インスタンス内には、Assets Discovery が使用されているかどうかを判断する指標はありません。
参考: Asset Discovery とは | Jira Service Management Cloud | アトラシアン サポート
他のアトラシアン製品は CVE-2023-22523 の影響を受けますか?
他のアトラシアン製品は CVE-2023-22523 の影響を受けますか?他の製品では特に対応は必要ありません。
修正版にパッチ適用すれば問題は完全に解決しますか?
最新のパッチは脆弱性 (CVE-2023-22523) を修正するものですが、パッチを適用する前にお客様のインスタンス上で悪意のある行為があったかどうかを弊社が確認することはできません。
社内のセキュリティ チームと協力して、パッチ適用前にインスタンスが侵害されていないかどうかを調査することをお勧めします。
Asset Discovery のパッチ適用についてサポートが必要です
パッチ適用は、次の手順に従ってください。
すべてのエージェントをアンインストールします
Asset Discovery をアップデートします
新しいバージョンのエージェントをインストールします
Asset Discovery およびエージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
アップグレードについてさらにサポートが必要な場合は、遠慮なくサポートチームにお問い合わせください。
Discovery コレクターは影響を受けますか?
いいえ、この脆弱性は Asset Discovery エージェントにのみ影響します。ただし、将来に使用する場合は、Asset Discovery アプリをアップデートして脆弱性を完全に軽減することを強くお勧めします。
エージェントを使用していなくても、Asset Discovery Discovery をアップグレードすべきですか?
この脆弱性はエージェントに存在するため、現在 Asset Discovery アプリでエージェントを使用していない場合はリスクはありません。ただし、将来エージェントを使用する場合は、Asset Discovery をアップデートすることで脆弱性を完全に軽減することを強くお勧めします。
Server を利用しています。Discovery の修正版をダウンロードするにはどうすればいいですか?
Asset Discovery の修正バージョンをダウンロードするには、Asset Discovery 3.2.0 をクリックして、「 Discovery とコレクターの更新 | アトラシアン サポート | アトラシアン製品ドキュメント」の指示に従って Asset Discovery エージェントをアップグレードしてください
クリーン インストール (古いバージョンをアンインストールして最新バージョンをインストールする) ではなく、Asset Discovery のアップグレードを実行すべきですか?
この脆弱性はエージェントに存在するため、現在 Asset Discovery でエージェントを使用していない場合はリスクはありません。ただし、将来エージェントを使用する場合は、クリーン インストールを実施して Asset Discovery をアップデートすることで脆弱性を完全に軽減することを強くお勧めします。
Asset Discovery および/または Discovery エージェントを使用している場合は、クリーン インストールせずにアップグレードできません。両方をアンインストールすることを強くお勧めします (最初にAsset Discovery エージェント (これがデータを保護する最も効果的な方のため)、次に Asset Discovery ツールをアンインストールします)。
次のステップとして、クリーン インストールに進んでください。
指示に従ってエージェントをアップデートすることに加えて、パターン ファイルに変更を加えている場合には、デフォルトのパターン ファイルから開始してカスタム変更を適用することをお勧めします。設定ファイルは再利用できます。
Asset Discovery と Discovery エージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
エージェントはどのようにアップグレードすればよいですか? / 新しいバージョンの Discovery エージェントを既存のバージョンの上にただインストールできますか? /設定ファイルやパターン ファイルを再利用できますか?
エージェントのアップデートに加えて、Asset Discovery のアップデートを強くお勧めします。修正バージョンにパッチを適用する前に、まず既存のエージェントを完全にアンインストールする必要があります。エージェントをアンインストールしたら、Assets Discovery アプリの最新の修正バージョンを適用して、 Asset Discovery エージェントを再インストールしてください。
指示に従ってエージェントをアップデートすることに加えて、パターン ファイルに変更を加えている場合には、デフォルトのパターン ファイルから開始してカスタム変更を適用することをお勧めします。設定ファイルは再利用できます。
Asset Discovery と Discovery エージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
リモート デバイスに多数の Discovery エージェントがあります。どうすれば効率的にアップグレードできますか?
残念ながら、現在、エージェントをリモートでインストールまたはアップデートする機能は提供していません。Asset Discovery Agentをすべてアンインストールすることを強くお勧めします。これがデータを保護する最も効果的な方法だからです。ただし、エージェントをすぐにアンインストールできない場合は、エージェントとの通信に使用されるポートをブロックしてください (デフォルトのポートは 51337)。この一時的な軽減策は、既存のエージェントを手動でアンインストールし、すべてのリモート デバイスでクリーン インストールすることに取って代わるものではありません。
指示に従ってエージェントをアップデートすることに加えて、パターン ファイルに変更を加えている場合には、デフォルトのパターン ファイルから開始してカスタム変更を適用することをお勧めします。設定ファイルは再利用できます。
Asset Discovery と Discovery エージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
Discovery エージェントの正常なインストールの基準は何ですか?
エージェントの再インストールが成功したかどうかを判断するには、Asset Discovery エージェントがサービスとして実行されていて、最新バージョンになっているかどうかを確認する必要があります。
サービス確認するには:
キーボード ショートカットの Win + R を使って「実行」ウィンドウを開きます
「services..msc」と入力し、Enter キーを押すか、OK をクリックします
リストから Discovery エージェント サービスを探します
エージェントのバージョンを確認するには:
コマンドラインで、エージェントがインストールされているディレクトリに移動します (デフォルト: C:\Program Files\Atlassian\Discovery Agent)
Discovery_Agent.exe -vを実行します。バージョン番号を確認します
詳細は、ナレッジベース「Asset Discovery エージェントの詳細を確認する方法 | Jira | アトラシアン製品ドキュメント」を参照してください。
Discovery エージェントをインストールしましたが、Jira Service Management (JSM) はもう使用していません。まだ脆弱性の影響を受けますか?
はい、Jira Service Management (JSM) をもう使用していなくても Asset Discovery エージェントがまだインストールされている場合は、これらのエージェントは脆弱なままです。すぐにアンインストールすることを強くお勧めします。
CVE-2023-22523 に関するエクスプロイトの IOC (Indicator or Compromise) はありますか?
Asset Discovery エージェントを実行しているインスタンスは、脅威アクターによる潜在的なリモートコード実行 (RCE) を受ける可能性があります。連鎖攻撃に加えて複数の侵入口が存在する可能性があるため、侵害の可能性があるすべての指標を列挙することは困難です。
エクスプロイトの性質は複雑で、エクスプロイト後に発生する可能性のある活動も多種多様であるため、アトラシアンが提供できるのは、現場/専任のセキュリティ チーム向けの初期ガイダンス/開始点の案内のみです。
以下を調査することを検討してください。
デフォルト ポート 51337 (または設定で指定した任意のカスタム ポート ) への外部接続
エージェント マシンで次のリストにないコマンドの実行 - 実行したコマンド | アトラシアン サポート | アトラシアン製品ドキュメント
Discovery Agent の root のパターン フォルダーに見慣れないパターンが追加されているか、デフォルト パターンが変更されている
Atlassian Discovery エージェントを使用している場合、アトラシアンはすべてのエージェントをすぐにアンインストールすることを強くお勧めします。エージェントをアンインストール後、 Asset Discovery アプリの最新の修正バージョンを適用して、エージェントを再インストールしてください。
指示に従ってエージェントをアップデートすることに加えて、パターン ファイルに変更を加えている場合には、デフォルトのパターン ファイルから開始してカスタム変更を適用することをお勧めします。設定ファイルは再利用できます。
Asset Discovery と Discovery エージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
エージェントなしで Asset Discovery を使用する場合でも、将来エージェントを使用する場合に備えて、脆弱性を完全に軽減するためにアプリをアップデートすることをお勧めします。
この脆弱性を一時的に軽減するには、どこでポートをブロックすればよいですか?マシン レベルですか、それともネットワーク レベルですか?
アトラシアンはすべてのエージェントをすぐにアンインストールすることを強くお勧めします。エージェントをアンインストール後、 Asset Discovery アプリの最新の修正バージョンを適用して、エージェントを再インストールしてください。
指示に従ってエージェントをアップデートすることに加えて、パターン ファイルに変更を加えている場合には、デフォルトのパターン ファイルから開始してカスタム変更を適用することをお勧めします。設定ファイルは再利用できます。
Asset Discovery と Discovery エージェントのアップグレードについての詳細は、Discovery の更新をご覧ください。
エージェントを使用していて、すべてのエージェントをすぐにアンインストールできない場合は、一時的な代替手段として、インフラおよびニーズに応じて、マシン レベルとネットワーク レベルの両方でのポート ブロックが効果的です。ただし、この一時的な軽減策は、Asset Discovery エージェントを最新の修正バージョンにアップグレードすることに代わるものではありません。
マシン レベル: これには、エージェントがインストールされている特定のマシンでファイア ウォール ルールを設定することが含まれ、通常、限られた数のマシンまたは特定のマシンに対して適した対応です。これには、他のシステムのネットワーク トラフィックを中断しないという利点もあります。
ネットワーク レベル: これには、ルーターまたはネットワーク ファイアウォールにファイアウォール ルールを設定することが含まれ、ネットワーク上のすべてのマシンに影響します。通常、複数のマシンを同時に管理する場合に適しています。同じポートを使用する他のサービスが中断される可能性があるという注意点があります。
システムで Asset Discovery エージェントが使用されているかはどのように確認できますか?
Asset Discovery エージェントは、Asset Discovery ネットワーク スキャン ツールと共に使用されます。常時オンラインではないシステムからデータを検出したり、インバウンドの WMI ポートやダイナミック DCOM ポートを開くことなく Windows システムからデータを収集するために使用されます。
環境に設定されている Asset Discovery エージェントを特定するには:
Asset Discovery ツール設定を開きます (コマンド「Discovery.exe-s'」を使用)
[サービス] タブをクリックします
「エージェント IP 範囲」フィールドの IP アドレスを書き留めます
その後、各リモート マシンに移動し、次の手順を実行してサービスを確認する必要があります。
キーボード ショートカットの Win + R を使って「実行」ウィンドウを開きます
「services..msc」と入力し、Enter キーを押すか、OK をクリックします
リストから Discovery エージェント サービスを探します
Assets Discovery にリモートマシンの IP アドレスを追加しなくても、Assets Discovery エージェントをリモート マシンにインストールすることは可能ですので注意してください。すべてのエージェントを確実に検出するために、ネットワーク全体を見直して、エージェントが実際にインストールされていないことを確認することをお勧めします。
Discovery Agent サービスがホストで実行されている場合は、「netstat」コマンドでエントリが返されるはずです。Discovery エージェントのデフォルトのリスナー ポートは 51337 ですが、Asset Discovery 設定ファイル (Discovery.cfg) の設定によっては異なる場合があります。
netstat -ab
[Discovery_Agent.exe] TCP 0.0.0.0:56348 EC2AMAZ-OGQ6O16:0 LISTENINGまた、インストール ディレクトリにも Asset Discovery エージェントが表示されるはずです。デフォルトのインストール ディレクトリは、C:\Program Files (x86)\Atlassian\Discovery Agent です。
セキュリティ チームおよびインフラ チームと連携して、これが当てはまるかどうかを判断してください。他に質問がある場合は、アトラシアン サポートにお問い合わせください。
最近セキュリティ勧告が多いのはなぜですか?
お客様のセキュリティは私たちの最優先事項です。データを保護するには、積極的に行動することが最善の方法だと考えています。これらの脆弱性は、継続的なセキュリティ評価に加えて現在実施しているセキュリティ レビューの一環で見つかりました (詳細 - https://www.atlassian.com/trust/security/security-testing)。
今後の更新については、引き続きクリティカルなセキュリティ勧告に従ってください。ご質問がある場合は、このメールに返信するか、support.atlassian.com からサポート リクエストを送ってください。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。
アトラシアンはメールの送信先をどのように判断したのですか?
デフォルトでは、セキュリティ脆弱性や他の技術的および契約に関するアラート (価格の変更、メンテナンス通知など) に関連するメールは常にプライマリの技術担当者に送られます。連絡先情報を更新するには、次の手順に従ってください。
アトラシアン製品の請求担当者と技術担当者を変更する方法を教えてください。
他の連絡先は、my.atlassian.com にアクセスしてこれらの通知を有効にできます。 上部の [メール設定] をクリックし、[テクニカル アラート] までスクロールして、通知を受け取りたい製品を選択します。