CVE-2023-22515 - Confluence Data Center および Server におけるアクセス制御破損の脆弱性

Archived Security Advisories

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

CVE-2023-22515 - Confluence Data Center および Server におけるアクセス制御破損の脆弱性

要約CVE-2023-22515 - Confluence Data Center および Server におけるアクセス制御破損の脆弱性
勧告のリリース日2023年 10 月 4 日 (水) 06:00 PDT
製品
  • Confluence Data Center
  • Confluence Server
CVE IDCVE-2023-22515
関連する Jira チケット



更新

この勧告の内容は初回の公開時から更新されています。

初回の公開時からの更新内容

Confluence 8.0.0 以前のバージョンは影響を受けないことを明確にしました。

  午後 2:20 UTC (世界標準時、+0 時間)

脅威検出セクションのグループ名を正しいものに編集 - confluence-administrators 

午前 8.30 UTC (世界標準時、0 +時間)

OWASP の定義に合わせて、カテゴリを、アクセス制御の破損 (Broken Access Control) と明確化

  午後 9:35 UTC (世界標準時、+0 時間)

Linked CVE ID to nvd.nist.gov website

  午後 3:00 UTC (世界標準時、+0 時間)

必要なアクションを強化し、「脅威検知」のサポートを追加

  午後 3:00 UTC (世界標準時、+0 時間)

新しい脅威アクター インテリジェンスを追加

  午後 21:45 UTC (世界標準時、+0 時間)



脆弱性の概要

アトラシアンは、外部攻撃者が一般にアクセス可能な Confluence Data Center および Server インスタンスに存在するこれまで知られていなかった脆弱性を悪用して不正な Confluence 管理者アカウントを作成し、Confluence インスタンスにアクセスしている可能性がある問題を、一部のお客様から報告されていることを確認しました。

更新: 私たちは、既知の国家攻撃者が CVE-2023-22515 を積極的に悪用していることを示唆する証拠を得ており、引き続きパートナーやお客様と緊密に協力して調査を続けています。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。 ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。

CVSS 10: 緊急の対応が必要です

1.インスタンスをアップグレードしてください

2.包括的な脅威検出を実施してください

下記に記載されている、一般にアクセス可能な Confluence Data Center と Server のバージョンは重大なリスクがあり、早急な対応が必要です。詳細な手順については「必要なアクション」を参照してください。

深刻度

アトラシアンは、アトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大 CSVV 10 として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

以下に示す Confluence Data Center とServer バージョンが、この脆弱性影響を受けます。これらのバージョンを使用しているお客様は、できるだけ早急にインスタンスをアップグレードしてください。

8.0.0 より前のバージョンはこの脆弱性の影響を受けません。

製品影響を受けるバージョン
Confluence Data Center および Confluence Server
  • 8.0.0
  • 8.0.1
  • 8.0.2
  • 8.0.3
  • 8.0.4
  • 8.1.0
  • 8.1.1
  • 8.1.3
  • 8.1.4
  • 8.2.0
  • 8.2.1
  • 8.2.2
  • 8.2.3
  • 8.3.0
  • 8.3.1
  • 8.3.2
  • 8.4.0
  • 8.4.1
  • 8.4.2
  • 8.5.0
  • 8.5.1


修正済みバージョン

アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにアップグレードすることを推奨しています。

製品修正済みバージョン
Confluence Data Center および Confluence Server
  • 8.3.3 以降
  • 8.4.3 以降
  • 8.5.2(長期サポートリリース) またはそれ以降

Confluence Data Center と Confluence Server の最新バージョンの詳細については、こちらのリリースノートを参照してください。最新バージョンは、こちらのダウンロード センターからダウンロードできます。


必要なアクション

1. 修正版にアップグレードしてください。(参照:アップグレード手順)

ユーザー認証でのものを含むパブリック インターネットにアクセスできる Confluence Data Center および Server インスタンスをお持ちのお客様は、アップグレードできるまで外部ネットワーク アクセスを制限する必要があります。

Alternatively, if you cannot restrict external network access or upgrade, apply the following interim measures to mitigate known attack vectors by blocking access to the /setup/* endpoints on Confluence instances. This is possible at the network layer or by making the following changes to Confluence configuration files.


  1. 各ノードで、/<confluence-install-dir>/confluence/WEB-INF/web.xml を修正して次のコードブロックを変更して (ファイルの末尾の </web-app> タグの直前に) 追加します。

    <security-constraint>
          <web-resource-collection>
            <url-pattern>/setup/*</url-pattern>
    			<http-method-omission>*</http-method-omission>
    		</web-resource-collection>
          <auth-constraint />
    	</security-constraint>
  2. Confluence を再起動します。

このアクションは一般的な Confluence の使用において必要とされない設定ページへのアクセスをブロックします。詳細は、以下の FAQ ページを参照してください

注: これらの緩和措置は限定的であり、インスタンスのアップグレードに代わるものではありません。できるだけ早くアップグレードする必要があります。

2. 脅威検知

アトラシアンでは、お客様のインスタンスがこの脆弱性の影響を受けているかどうかを確認することはできません。社内のセキュリティ チームに連絡し、影響を受けるすべての Confluence インスタンスに侵害の証拠がないか確認する必要があります。

侵害の証拠には以下が含まれます。

  • confluence-administrators グループの予期せぬメンバー

  • 予期せず新しく作成されたユーザー アカウント

  • 未知のプラグインがインストールされている

  • ネットワーク アクセス ログの /setup/*.action へのリクエスト

  • Confluence のホーム ディレクトリにある atlassian-confluence-security.log の例外メッセージに /setup/setupadministrator.action が存在する

If your Confluence instances have been compromised, these threat attackers hold full administrative access and can perform any number of unfettered actions including, exfiltration of content and system credentials, and installation of malicious plugins. If any evidence is found, you should assume that your instance has been compromised and follow your security incident response plan. 

Additionally, if you believe you were compromised,
please raise a support request as Atlassian assistance may be required to recover and protect your instance.


よくある質問 (FAQ)

詳細については、よくある質問 (FAQ) ページをご確認ください

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ からサポート リクエストを起票ください。

参考

セキュリティ バグ修正ポリシー弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。
セキュリティに関連する問題のセキュリティ レベルについてアトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。
最終更新日: 2023 年 12 月 19 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.