全般的な情報

リモート コード実行 (RCE) のクリティカルな脆弱性が、Atlassian Companion アプリ (CVE-2023-22524) に見つかりました。 

このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。

私の Confluence インスタンスは影響を受けますか？

この脆弱性は、macOS 上の Atlassian Companion アプリにのみ影響します。このアプリは、Confluence Data Center および Server ユーザー向けのオプションのデスクトップ ツールです。ただし、Confluence Cloud に最近移行したユーザーを含め、アプリの旧ユーザーは依然として脆弱である可能性があるため、デバイスから削除する対応が必要です。

Microsoft Windows 版 の Atlassian Companion アプリは、この脆弱性影響を受けません。また、Confluence Server、Confluence Data Center、または Confluence Cloud サイトには影響しません。

詳細は、CVE-2023-22524 をご覧ください。

クラウド インスタンスは影響を受けますか?

いいえ、Atlassian Cloud インスタンスは CVE-2023-22524 の影響を受けません。Confluence サイトへのアクセスが atlassian.net ドメイン経由の場合、そのサイトはアトラシアンがホストしており、脆弱性の影響を受けることはありません。さらに、Confluence Cloud でホストされているコンテンツを Atlassian Companion アプリを介して編集する機能は、2022年 3 月末に削除されました。

Microsoft Windows にインストールされた Atlassian Companion アプリは影響を受けません。しかし、影響を受けるバージョンの Atlassian Companion アプリが過去に macOS クライアント マシンにインストールされていて、最新のアプリ バージョンに自動更新されていない場合、macOS クライアント マシンは CVE-2023-22524 に対して脆弱です。

そのような場合は、Atlassian Companion アプリをバージョン 2.0.0 以上にアップグレードしてください。または、影響を受けるバージョンのアプリを macOS クライアント マシンからすぐにアンインストールしてください。

他のアトラシアン製品はこの脆弱性の影響を受けますか?

いいえ、CVE-2023-22524 の影響を受けません。使用している他のアトラシアン製品に影響を与える可能性のあるその他の最新のセキュリティ勧告については、セキュリティ勧告 | アトラシアン ページを確認してください。

私のマシンは影響を受けますか？

Microsoft Windows にインストールされている Atlassian Companion アプリは、CVE-2023-22524 に対して脆弱ではありません。この CVEは、v2.0.0 より前のバージョンで、MacOS にのみインストールされている Atlassian Companion アプリにのみ影響します。

マシンにインストールされている Companion アプリのバージョンを確認するにはどうすればよいですか？

CVE-2023-22524 は、macOS にインストールされている Atlassian Companion アプリにのみ影響します。Microsoft Windows にインストールされた Atlassian Companion アプリは影響を受けません。

Atlassian Companion アプリが macOS クライアント マシンにインストールされ、実行されているかどうかを確認するには、メニューバーで Atlassian Companion アプリのアイコンを確認してください。

「Atlassian Companion について」をクリックすると、アプリのバージョンが表示されます。

Atlassian Companion アプリは、(CVE-2023-22524 の修正を含む) バージョン 2.0.0 以上でなければなりません。

macOS クライアント マシンが影響を受けるバージョンの Atlassian Companion アプリを実行している場合は、アプリを再起動して、macOS クライアント マシンがインターネットに接続されている状態でアプリの自動更新をトリガーしてください。

macOS クライアント マシンがインターネットに接続できない場合は、そのマシンから Atlassian Companion アプリをアンインストールしてください。

Atlassian Companion アプリをアンインストールするとどのような影響がありますか？

Atlassian Companion アプリを使用して、ユーザーは任意のデスクトップ アプリで Confluence ファイルを編集し、ファイルを自動的に Confluence に保存できます。

ファイルのダウンロードと再アップロードは Atlassian Companion アプリによって管理されます。ファイル編集を有効にするには、このアプリを (Confluence インストール ディレクトリではなく) 各ユーザーのマシンにインストールする必要があります。

クライアント　マシンから Atlassian Companion アプリをアンインストールすると、ユーザーが Confluence 添付ファイル プレビュー ページの [編集] ボタンを押したときに、最新の Atlassian Companion アプリを再インストールするように求められます。

インスタンスで Companion アプリを無効にするにはどうすればよいですか？

いいえ、CVE-2023-22524 を軽減するために Confluence Server または Data Center アプリケーションから Atlassian Companion アプリを無効にすることはできません。

macOS クライアント マシンが影響を受けるバージョンの Atlassian Companion アプリを実行している場合は、アプリを再起動して、macOS クライアント マシンがインターネットに接続されている状態でアプリの自動更新をトリガーしてください。

macOS クライアント マシンがインターネットに接続できない場合は、そのマシンから Atlassian Companion アプリをアンインストールしてください。

修正版にパッチ適用すれば問題は解決しますか？

はい。macOS 上のバージョン 2.0.0 以上の Atlassian Companion アプリは、CVE-2023-22524 に対して脆弱ではありません。

影響を受けるバージョンの Atlassian Companion アプリを実行しています。どうすればパッチ適用するまでの間の脅威を軽減できますか？

macOS クライアント マシンが影響を受けるバージョンの Atlassian Companion アプリを実行している場合は、アプリを再起動して、macOS クライアント マシンがインターネットに接続されている状態でアプリの自動更新をトリガーしてください。

macOS クライアント マシンがインターネットに接続できない場合は、そのマシンから Atlassian Companion アプリをアンインストールしてください。

インスタンスがすでに攻撃されているかどうかを確認することはできますか？

アトラシアンは、各お客様のエンドユーザーのクライアント マシンや (Atlassian Companion アプリを介した) Confluence インスタンスへの通信にアクセスすることはできません。したがって、アトラシアンでは、お客様のインスタンスがこの脆弱性の影響を受けているかどうかは確認できません。社内のセキュリティ チームに連絡し、影響を受けるすべての Confluence インスタンスに侵害の証拠がないか確認する必要があります。

インスタンスが侵害されていました。どうすればよいですか？

攻撃ベクトルは、WebSocket を利用して Atlassian Companion のブロックリストをバイパスし、macOS Gatekeeper を利用してコードを実行することです。

侵害されたクライアント マシンについてさらに調査するには、ローカルのセキュリティ チームまたは外部の専門セキュリティ会社に相談することを強くお勧めします。

この脆弱性のことを知りませんでした。アトラシアンはいつどのようにこの情報を共有したのでしょうか

修正の開発後、製品の技術アラートのリストにサブスクライブしているすべてのお客様にアラートを送信しています。このリストへの登録状況は https://my.atlassian.com/email で確認できます。 

社内にセキュリティ チームがない場合はどうしたら良いですか?

専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。