CVE-2023-46604 の FAQ
全般的な情報
Bamboo Data Center および Server は、コア サービスの一部としてサード パーティのライブラリ ActiveMQ を利用しています。Apache Active MQ は、リモート コード実行 (RCE) を可能にする脆弱性 (CVE-2023-46604) を公開しています。
このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。
私の Bamboo インスタンスは影響を受けますか?
Bamboo Server と Bamboo Data Center のすべてのバージョンがこの脆弱性影響を受けます。
アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにパッチ適用することを推奨しています。
製品 | 修正済みバージョン |
|---|---|
Bamboo Server および Data Center |
|
他のアトラシアン製品は CVE-2023-46604 の影響を受けますか?
他のアトラシアン製品 (Server、Data Center、または Cloud) は CVE-2023-46604 の影響を受けません。他の製品では特に対応は必要ありません。
修正版にパッチ適用すれば問題は完全に解決しますか?
最新のパッチは脆弱性 CVE (CVE-2023-46604) を修正するものですが、パッチを適用する前にお客様のインスタンス上で悪意のある行為があったかどうかを弊社が確認することはできません。
社内のセキュリティ チームと協力して、パッチ適用前にインスタンスが侵害されていないかどうかを調査することをお勧めします。
Bamboo で ActiveMQ ブローカーが果たす役割は何ですか?
Bamboo は自身のJava Messaging Service として ActiveMQ を利用しており、ActiveMQ ブローカーは Bamboo サーバーとそのエージェント間の通信を管理するサービスです。
影響を受けるバージョンの Bamboo を実行しています。どうすればアップグレードするまでの間の脅威を軽減できますか?
Bamboo Data Center と Server インスタンスに直ちにパッチを適用できないお客様は、リスクを軽減するために次の手順を実行することをお勧めします。
- Bamboo の ActiveMQ ポート (デフォルト TCP/54663、TCP/54664、TCP/54665) へのネットワーク アクセスを信頼できるソースのみに制限してください。
- 許可されたエージェントの IP アドレスのみがこのようなポートへの接続を確立できるようにしてください。
- Bamboo サーバからの発信接続を、Bamboo の日常的な活動の一部である IP アドレスと URL、例えば、https://support.atlassian.com/ja/organization-administration/docs/ip-addresses-and-domains-for-atlassian-cloud-products だけに制限してください。
- Bamboo インスタンスの前段にロード バランサーがある場合は、Bamboo のメインの ActiveMQ ポートに適用されているものと同じネットワーク制限がロード バランサーにも適用されているようにしてください。
注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。
「Bamboo ActiveMQ がリッスンしているポートを確認するにはどうしたら良いですか?」セクションで、Bamboo の ActiveMQ ポートの設定を確認する方法の詳細を確認してください。
Bamboo エージェントをアップグレードする必要がありますか?
いいえ。エージェントには脆弱なライブラリが含まれているものの、この脆弱性は Bamboo Server インスタンス側でのみエクスプロイト可能です。エージェントは、新しい Bambooバージョンを検出すると自動的に更新されます。
エージェント サーバーへのトラフィックを制限するために何かアクションをとる必要がありますか?
エージェントには脆弱なライブラリが含まれているものの、この脆弱性は Bamboo Server インスタンス側でのみエクスプロイト可能です。エージェント側でネットワーク制限を適用する必要はありません。エージェントがアップグレード/修正されたBamboo Server に接続するとライブラリは自動的にアップグレードされます。
Bamboo がすでに攻撃を受けているかどうかを確認することはできますか?
アトラシアンでは、お客様のインスタンスがこの脆弱性の影響を受けているかどうかを確認することはできません。社内のセキュリティ チームに連絡し、影響を受けるすべての Bamboo インスタンスに侵害の証拠がないか確認する必要があります。
侵害の証拠には以下が含まれます。
- インスタンスへのログイン アクセスの喪失
- ネットワーク アクセス ログ内の異常なアクティビティ
- 未知のプラグインがインストールされている
- 暗号化されたファイルまたは破損したデータ
bamboo-administratorsグループの予期せぬメンバー- 予期せず新しく作成されたユーザー アカウント
証拠が見つかった場合は、インスタンスが侵害されていると想定して、自社のセキュリティ インシデント対応計画に従う必要があります。
Bamboo ActiveMQ がリッスンしているポートを確認するにはどうしたら良いですか?
Bamboo はデフォルトでは、TCP/54663 ポート、TCP/54664 ポート、および TCP/54665 ポートを ActiveMQ サービスに割り当てます。 これらのポートはお客様がカスタマイズできます。
インスタンスのポートは、Bamboo 設定ファイルか Bamboo Web インターフェイスのどちらかで特定できます。
- Bamboo の設定ファイル:
- Bamboo の
<bamboo-home>/bamboo.cfg.xmlファイルに移動して、bamboo.jms.broker.uriプロパティを探してください。
- Bamboo の
<property name="bamboo.jms.broker.uri">nio://0.0.0.0:54663?wireFormat.maxInactivityDuration=90000&transport.soWriteTimeout=45000</property>Bamboo の Web インターフェイス:
Bamboo の Web インターフェイス(
Bamboo Administration >> General Configuration >> Bamboo JMS broker configuration >> Broker URL) に移動します。
さらに、Bamboo は内部要件を満たすために、追加の ActiveMQ コネクタを追加ポートで起動します。これには、以下が含まれます。
- メインの JMS コネクタ。例えば、54663 ポート
- SSL JMS コネクタ。これは、メイン コネクタ ポートに1 を加えたもの。例えば、54664
- Elastic Agents JMS コネクタ。これは、メイン コネクタポートに 2 を加えたもの。例えば、54665
「影響を受けるバージョンの Bamboo を実行しています。どうすればアップグレードするまでの間の脅威を軽減できますか?」セクションを参照して、パッチをすぐに適用できない場合に緩和策を実施するための次のステップを確認してください。
私のインスタンスはインターネットに公開されていません。引き続きパッチ適用が推奨されますか?
CVE-2023-46604 の Bamboo セキュリティ勧告ページに記載されている最新のパッチを適用することをやはり強くお勧めします。
Bamboo インスタンスがインターネットからアクセスできない場合、エクスプロイトのリスクは減少します。
私のインスタンスが攻撃されていました。どうすればよいですか?
すぐにインスタンスをシャットダウンして、サーバーをインターネットから切断する必要があります。
次に、社内のセキュリティ チームと連携し、エクスプロイト後の悪意のあるアクティビティを確認し、復旧オプションを決定する必要があります。
「Bamboo がすでに攻撃を受けているかどうかを確認することはできますか?」セクションを参照して、潜在的侵害の兆候に関しての詳細を確認してください。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。