CVE-2023-22515 - Confluence Data Center および Server におけるアクセス制御破損の脆弱性

アトラシアンは、外部攻撃者が一般にアクセス可能な Confluence Data Center および Server インスタンスに存在するこれまで知られていなかった脆弱性を悪用して不正な Confluence 管理者アカウントを作成し、Confluence インスタンスにアクセスしている可能性がある問題を、一部のお客様から報告されていることを確認しました。

更新: 私たちは、既知の国家攻撃者が CVE-2023-22515 を積極的に悪用していることを示唆する証拠を得ており、引き続きパートナーやお客様と緊密に協力して調査を続けています。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。 ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。

深刻度

アトラシアンは、アトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大 CSVV 10 として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

以下に示す Confluence Data Center とServer バージョンが、この脆弱性影響を受けます。これらのバージョンを使用しているお客様は、できるだけ早急にインスタンスをアップグレードしてください。

8.0.0 より前のバージョンはこの脆弱性の影響を受けません。

修正済みバージョン

アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにアップグレードすることを推奨しています。

Confluence Data Center と Confluence Server の最新バージョンの詳細については、こちらのリリースノートを参照してください。最新バージョンは、こちらのダウンロード センターからダウンロードできます。

必要なアクション

1. 修正版にアップグレードしてください。(参照:アップグレード手順)

ユーザー認証でのものを含むパブリック インターネットにアクセスできる Confluence Data Center および Server インスタンスをお持ちのお客様は、アップグレードできるまで外部ネットワーク アクセスを制限する必要があります。

Alternatively, if you cannot restrict external network access or upgrade, apply the following interim measures to mitigate known attack vectors by blocking access to the /setup/* endpoints on Confluence instances. This is possible at the network layer or by making the following changes to Confluence configuration files.

1. 各ノードで、/<confluence-install-dir>/confluence/WEB-INF/web.xml を修正して次のコードブロックを変更して (ファイルの末尾の </web-app> タグの直前に) 追加します。

   <security-constraint>
         <web-resource-collection>
           <url-pattern>/setup/*</url-pattern>
   			<http-method-omission>*</http-method-omission>
   		</web-resource-collection>
         <auth-constraint />
   	</security-constraint>

2. Confluence を再起動します。

このアクションは一般的な Confluence の使用において必要とされない設定ページへのアクセスをブロックします。詳細は、以下の FAQ ページを参照してください。

注: これらの緩和措置は限定的であり、インスタンスのアップグレードに代わるものではありません。できるだけ早くアップグレードする必要があります。

• confluence-administrators グループの予期せぬメンバー

• 予期せず新しく作成されたユーザー アカウント

• 未知のプラグインがインストールされている

• ネットワーク アクセス ログの /setup/*.action へのリクエスト

• Confluence のホーム ディレクトリにある atlassian-confluence-security.log の例外メッセージに /setup/setupadministrator.action が存在する

If your Confluence instances have been compromised, these threat attackers hold full administrative access and can perform any number of unfettered actions including, exfiltration of content and system credentials, and installation of malicious plugins. If any evidence is found, you should assume that your instance has been compromised and follow your security incident response plan. 

Additionally, if you believe you were compromised, please raise a support request as Atlassian assistance may be required to recover and protect your instance.

よくある質問 (FAQ)

詳細については、よくある質問 (FAQ) ページをご確認ください。

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ からサポート リクエストを起票ください。

参考