CVE-2023-22518 - Confluence Data Center および Server における不適切な認証の脆弱性
CVE-2023-22518 - Confluence Data Center および Server における不適切な認証の脆弱性
| 要約 | CVE-2023-22518 - Confluence Data Center および Server における不適切な認証の脆弱性 |
| 勧告のリリース日 | 2023 年 10 月 31 日 (火) 00:00 ET |
| 製品 |
|
| CVE ID | CVE-2023-22518 |
| 関連する Jira チケット |
更新
この勧告の内容は初回の公開時から更新されています。
脆弱性の概要
アトラシアンによるこの CVE の継続的な監視と調査の一環として、いくつかのアクティブなエクスプロイトとランサムウェアを使用する脅威アクターの報告を確認しました。攻撃の範囲が変更されたため、CVE-2023-22518 を CVSS 9.1 から最高の重要度である 10 にエスカレーションしました。詳細については、このページの脅威検知セクションをご確認ください。
Confluence Data Center および Server のすべてのバージョンがこの脆弱性の影響を受けます。この不適切な認証の脆弱性により、認証されていない攻撃者が Confluence をリセットして、Confluence インスタンスの管理者アカウントを作成することが可能となります。このアカウントを使用すると、攻撃者は Confluence インスタンス管理者が利用できるすべての管理アクションを実行でき、機密性、インテグリティ、可用性の完全な喪失に繋がります。
下記に記載されている、一般にアクセス可能な Confluence Data Center と Server のバージョンは重大なリスクがあり、早急な対応が必要です。詳細な手順については「必要なアクション」を参照してください。
Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。
深刻度
アトラシアンはこの脆弱性の深刻度レベルを社内の評価にしたがって「緊急 (critical)」と評価しています (10で次のベクトル CVSS: 3.0 /AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)。これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。
影響を受けるバージョン
この不適切な認証の脆弱性は、記載されている修正バージョンの Confluence Data Center および Server より前のすべてのバージョンに影響します。アトラシアンは、修正ずみの LTS バージョン以降にパッチを適用することを推奨します。
| 製品 | 影響を受けるバージョン |
|---|---|
| Confluence Data Center および Server | すべてのバージョンが影響を受けます |
必要なアクション
すぐに修正版バージョンにパッチ適用してください
アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (または最新のバージョン) のいずれかにパッチ適用することを推奨しています。
| 製品 | 修正済みバージョン |
|---|---|
| Confluence Data Center および Server |
|
パッチを適用できない場合は、一時的な緩和策を適用してください
- インスタンスのバックアップを取る(手順: https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html)
- 可能であれば、パッチを適用できるようになるまで、インターネットからインスタンスを取り除いてください。 ユーザー認証のあるものを含む、公共のインターネットにアクセスできるインスタンスは、パッチが適用されるまで外部ネットワークへのアクセスを制限する必要があります。
- 外部ネットワークへのアクセスを制限できない場合、または、パッチを適用できない場合は、以下の暫定措置を講じて Confluence インスタンス上の次のエンドポイントへのアクセスをブロックすることで、既知の攻撃ベクトルを軽減してください。
/json/setup-restore.action/json/setup-restore-local.action/json/setup-restore-progress.action
これはネットワーク層で、あるいは Confluence 設定ファイルに以下の変更を加えることで可能です。
1. 各ノードで、/<confluence-install-dir>/confluence/WEB-INF/web.xml を修正して次のコード ブロックを変更して (ファイルの末尾の </web-app> タグの直前に) 追加します。
<security-constraint>
<web-resource-collection>
<url-pattern>/json/setup-restore.action</url-pattern>
<url-pattern>/json/setup-restore-local.action</url-pattern>
<url-pattern>/json/setup-restore-progress.action</url-pattern>
<http-method-omission>*</http-method-omission>
</web-resource-collection>
<auth-constraint />
</security-constraint>
2. Confluence を再起動します。
注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。
脅威検知
アトラシアンでは、お客様のインスタンスがこの脆弱性の影響を受けているかどうかを確認することはできません。社内のセキュリティ チームに連絡し、影響を受けるすべての Confluence インスタンスに侵害の証拠がないか確認する必要があります。
侵害の証拠には以下が含まれます。
- インスタンスへのログイン アクセスの喪失
- ネットワーク アクセス ログ内の
/json/setup-restore*へのリクエスト - 未知のプラグインがインストールされている
- Web.Shell.Plugin という名前の悪意のあるプラグインの報告を確認しています
- 暗号化されたファイルまたは破損したデータ
confluence-administratorsグループの予期せぬメンバー予期せず新しく作成されたユーザー アカウント
証拠が見つかった場合は、インスタンスが侵害されていると想定して、自社のセキュリティ インシデント対応計画に従う必要があります。
よくある質問 (FAQ)
詳細については、よくある質問 (FAQ) ページをご確認ください。
サポート
このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ からサポート リクエストを起票ください。
参考
| セキュリティ バグ修正ポリシー | 弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。 |
| セキュリティ問題の深刻度 | アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。 |
| サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |