Confluence Server、Data CenterのOGNLインジェクション脆弱性(CVE-2021-26084)
・脆弱性対象システム
Atlassian製品のConfluence Server、Data Center
【コメント】
ConfluenceはMicrosoft Teamsのようなコミュニケーションツール。
・脆弱性対象ソフトウェアバージョン情報
- Confluence Server、Data Center 7.12.5より前の7.12系のバージョン
- Confluence Server、Data Center 7.11.6より前の7.11系のバージョン
- Confluence ServerおよびData Center 7.5系から7.10系までのバージョン
- Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
- Confluence ServerおよびData Center 7.0系から7.3系までのバージョン
- Confluence ServerおよびData Center 6.14系、6.15系のバージョン
- Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン
※ConfluenceCloudは影響なし。
・攻撃内容
OGNLインジェクションの脆弱性
認証されていない遠隔の第三者が任意のコードを実行し、未知の値で改ざんする。
※[COG] → [User Management] → [User Signup Options]において、「Allow people to sign up to create their account」が有効な場合、管理者以外もしくは認証されていないユーザが脆弱なエンドポイント(端末)にアクセス可能。
・攻撃による影響
特権昇格を突く攻撃に繋がる懸念があり、組織のデータ搾取、データ改ざん、システム破壊などに繋がる可能性がある。
・世界的な脆弱性悪用状況
※2021年9月6日時点
この脆弱性は、実際の悪用が確認されている。
エクスプロイトツールは一般に公開されている。
現行、攻撃者がwindows, LinuxのConfluence Serverに暗号通貨のマイニングツール(XMRig Monero暗号通貨マイナーなど)をインストールしようとしているのが確認されている。
今後、企業ネットワーク内を侵害し、ランサムウェアのペイロードを用いて企業情報を盗み出される可能性が指摘されている。
・CVE(共通脆弱性識別子:Common Vulnerabilities and Exposures)
CVE-2021-26084
・CVSS (共通脆弱性評価システム:Common Vulnerability Scoring System)
Critical(基本値:9.8)
・CWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)
CWE-74(インジェクション)
・時系列
-不明:公開バグ報奨金プログラムを介してBenny Jacob(SnowyOwl)によって脆弱性を発見
-2021年8月25日(現地時間):Atlassianがセキュリティアドバイザリを公開
-2021年8月30日(現地時間):NIST(NVD)が注意喚起
-2021年9月2日(日本時間):JPCERT/CCが注意喚起
-2021年9月3日(現地時間):USCYBERCOM(アメリカサイバー軍)は公式twitterにて注意喚起
-2021年9月3日(現地時間):CISAが注意喚起
・是正方法
恒久策
Confluence Server、Data Centerにパッチを適用し、バージョンアップする。
- Confluence Server、Data Center 7.13.0
- Confluence Server、Data Center 7.12.5
- Confluence Server、Data Center 7.11.6
- Confluence Server、Data Center 7.4.11
- Confluence Server、Data Center 6.13.23
【コメント】
様々なマイナーバージョン(7.12.5のx.12.5のこと)が準備されているのは、組織によってはメジャーバージョンを上げられないから
リスク低減策
Confluence Server、Data Centerがホストされているオペレーティングシステムに対して該当スクリプトの適用する。
【コメント】
組織によっては、スクリプト適用の場合もパッチ適用前のテストは必要だと思います。恒久策のバージョンアップよりはテストの敷居は低そうですが。。。
・引用先
NIST「NVD CVE-2021-26084 Detail」:https://nvd.nist.gov/vuln/detail/CVE-2021-26084#range-6898374
JPCERT/CC「Confluence ServerおよびData Centerの脆弱性(CVE-2021-26084)に関する注意喚起」:https://www.jpcert.or.jp/at/2021/at210037.html
Atlassian「Confluence Security Advisory - 2021-08-25」:https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
bleepingcomputer「US govt warns orgs to patch massively exploited Confluence bug」:https://www.bleepingcomputer.com/news/security/us-govt-warns-orgs-to-patch-massively-exploited-confluence-bug/
CSC1「許可されたデバイスと無許可のデバイスのインベントリ」
CSC1は、デバイスのインベントリ管理について述べられています。
コントロール
「ネットワーク上のすべてのハードウェアデバイスを能動的に管理(イベントリ作成、追跡、修正)し、アクセス権限を許可されたデバイスだけに付与します。また、無許可のデバイスや管理されていないデバイスを検出し、これらのデバイスがアクセス権限を取得することを防止します。」
サブコントロール
- 「自動化された資産インベントリ検出ツールを適用し、これを使用して組織のパブリックネットワークおよびプライベートネットワークに接続されたシステムの予備の資産インベントリを作成します。IPv4またはIPv6のネットワークアドレス範囲をスキャンするアクティブツールおよびトラフィックの分析に基づいてホストを特定するパッシブツールの両方を採用する必要があります。」
- 「DHCPを使用して動的にアドレスを割りあてている場合は、システムに対して動的ホスト構成プロトコル(DHCP)サーバのロギング機能を適用して 資産インベントリを改善し、このDHCP情報から不明なシステムを検知します。」
- 「機器の取得に伴ってインベントリシステムが新規に更新され、承認されたデバイスがネットワークに接続されることを確認します。」
- 「少なくともネットワークアドレス、マシン名、各システムの目的、および各デバイスの責任を負う資産所有者、各デバイスに関連付けられた部門を記録して、ネットワークに接続されたすべてのシステムおよびネットワークデバイス自体の資産インベントリを保守します。このインベントリには、デスクトップ、ラップトップ、サーバ、ネットワーク機器(ルータ、スイッチ、ファイアウォールなど)、プリンタ、ストレージエリアネットワーク、VoIP(Voice over IP)電話、マルチホームアドレス、仮想アドレスなど、ネットワーク上にIP(Internet Protocol)アドレスを持つすべてのシステムが含まれている必要があります。作成する資産インベントリには、デバイスがポータブルデバイス/パーソナルデバイスであるかどうかに関するデータも含める必要があります。携帯電話、タブレット、ラップトップなど、データの保管または処理が可能なポータブル電子機器は、組織のネットワークに接続しているかどうかに関係なく特定する必要があります。 」
- 「ネットワークに接続できるデバイスを制限しコントロールするために、802.1x によるネットワークレベル認証を適用します。許可されているシステムと無許可のシステムを判別するために、802.1x をインベントリデータに結びつける必要があります。」
- 「プライベートネットワークへの接続前に、クライアント証明書を使用してシステムを検証および認証します。」
なぜこのコントロールが重要なのか?
本コントロールの重要性は他のコントロールのベースになるということである。例えば、CSC2のソフトウェア管理しようと思った時、入れ物(ハードウェア)の情報がないと現状の把握しようがない。また、CSC3のシステム設定においても、どのようなデバイスを管理するかの情報(WindowsOSのデスクトップPC10台など)がないと設定の更新・現状の確認ができない。
本コントロールでは何を行うのか?
CISのコントロールによると、①インベントリ(一覧表)を作成し、②ネットワーク上におけるデバイスの現状を確認し、③インベントリと調査した現状のギャップがあれば、原因を調査し、是正することが定められています。
本コントロールでは具体的に何を行うのか?
①インベントリ作成、②デバイスの現状追跡、③ギャップの修正それぞれをサブコントロールを基に具体的にみていく。
①インベントリ作成
- デバイスの購入時、更改時にインベントリに新規追加、変更(CSC1.3)
- インベントリにa.IPアドレス、b.デバイス名、c.デバイスの利用目的、d.デバイス管理者名、e.デバイスに関連付けられた部門を記入(CSC1.4)
- ネットワーク上のIPアドレスを付与されたデバイスを記入(CSC1.4)
②デバイスの現状追跡
- アクティブツールを用いたデバイスの追跡(CSC1.1)
※アクティブツールとは、一定範囲のIPアドレスに一斉にパケットを送付し、応答状況からネットワークに接続されているデバイスを把握する。(例:一定範囲のIPアドレスにpingコマンドを送信し、応答を収集する)
- パッシブツールを用いたデバイスの追跡(CSC1.1)
※パッシブツールとは、ネットワークにパッシブツールを配置し、そのネットワークを流れるパケットを収集し、ネットワークに接続されているデバイスを把握する。
③ギャップの修正
CSC(Critical Security Control)の動向
当分は、CIS(The Center for Internet Security)のCSC(Critical Security Control)を解説していきます。
本コントロールが何であるかは、他のサイトでもきちんと書かれているため、本ブログでは当面省略します。(気が向けば触れたいと思います)
セキュリティコンサルタントとして仕事をしていく中で最近感じていることですが、日本クライアントの要求として、ISO27001やNIST SP800-53といった幅広い領域をカバー可能なルールを全般的に行い、その上で、攻撃者目線の(リスクの高い順の)CSCを別途取り込んでいくことが増えております。
そこで、業務知識としてCSCを学ぶ上で、1コントロールずつきちんと解説されている日本語サイトを探したところ、手頃なサイトが見つからなかったため、忘備録を兼ねて、整理していこうと思います。
次回からは、CSC1「ハードウェアのインベントリ管理」を解説していきます。
以下のリンクからCIS CSCの最新情報を取得することができます。(英語)
https://www.cisecurity.org/critical‐controls.cfm
日本語訳についてはNRI Secure様が行ってくださっております。
https://www.cisecurity.org/wp-content/uploads/2017/03/CIS-CSC_v6.1_Japanese_Final_r1.pdf
また、本ブログは以下のライセンス条項を遵守いたします。