Confluence Server、Data CenterのOGNLインジェクション脆弱性(CVE-2021-26084)

CVE Data Center Confluence Server Atlassian

脆弱性対象システム

Atlassian製品のConfluence Server、Data Center

【コメント】
ConfluenceはMicrosoft Teamsのようなコミュニケーションツール。

 

 

脆弱性対象ソフトウェアバージョン情報

- Confluence Server、Data Center 7.12.5より前の7.12系のバージョン
- Confluence Server、Data Center 7.11.6より前の7.11系のバージョン
- Confluence ServerおよびData Center 7.5系から7.10系までのバージョン
- Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
- Confluence ServerおよびData Center 7.0系から7.3系までのバージョン
- Confluence ServerおよびData Center 6.14系、6.15系のバージョン
- Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン
※ConfluenceCloudは影響なし。

 

 

・攻撃内容

OGNLインジェクションの脆弱性
認証されていない遠隔の第三者が任意のコードを実行し、未知の値で改ざんする。

※[COG] → [User Management] → [User Signup Options]において、「Allow people to sign up to create their account」が有効な場合、管理者以外もしくは認証されていないユーザが脆弱なエンドポイント(端末)にアクセス可能。

 

・攻撃による影響

特権昇格を突く攻撃に繋がる懸念があり、組織のデータ搾取、データ改ざん、システム破壊などに繋がる可能性がある。

 

 

・世界的な脆弱性悪用状況

※2021年9月6日時点

この脆弱性は、実際の悪用が確認されている。
エクスプロイトツールは一般に公開されている。
現行、攻撃者がwindows, LinuxのConfluence Serverに暗号通貨のマイニングツール(XMRig Monero暗号通貨マイナーなど)をインストールしようとしているのが確認されている。

今後、企業ネットワーク内を侵害し、ランサムウェアペイロードを用いて企業情報を盗み出される可能性が指摘されている。

 

・CVE(共通脆弱性識別子:Common Vulnerabilities and Exposures)

CVE-2021-26084

 

 

・CVSS (共通脆弱性評価システム:Common Vulnerability Scoring System)

Critical(基本値:9.8)

 

 

・CWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)

CWE-74(インジェクション)

 

 

・時系列

-不明:公開バグ報奨金プログラムを介してBenny Jacob(SnowyOwl)によって脆弱性を発見
-2021年8月25日(現地時間):Atlassianがセキュリティアドバイザリを公開
-2021年8月30日(現地時間):NIST(NVD)が注意喚起
-2021年9月2日(日本時間):JPCERT/CCが注意喚起
-2021年9月3日(現地時間):USCYBERCOM(アメリカサイバー軍)は公式twitterにて注意喚起
-2021年9月3日(現地時間):CISAが注意喚起

 

 

 

 

・是正方法

恒久策

Confluence Server、Data Centerにパッチを適用し、バージョンアップする。
- Confluence Server、Data Center 7.13.0
- Confluence Server、Data Center 7.12.5
- Confluence Server、Data Center 7.11.6
- Confluence Server、Data Center 7.4.11
- Confluence Server、Data Center 6.13.23

【コメント】
様々なマイナーバージョン(7.12.5のx.12.5のこと)が準備されているのは、組織によってはメジャーバージョンを上げられないから

 

リスク低減策

Confluence Server、Data Centerがホストされているオペレーティングシステムに対して該当スクリプトの適用する。

【コメント】
組織によっては、スクリプト適用の場合もパッチ適用前のテストは必要だと思います。恒久策のバージョンアップよりはテストの敷居は低そうですが。。。

 

 

・引用先

NIST「NVD CVE-2021-26084 Detail」:https://nvd.nist.gov/vuln/detail/CVE-2021-26084#range-6898374
JPCERT/CC「Confluence ServerおよびData Centerの脆弱性(CVE-2021-26084)に関する注意喚起」:https://www.jpcert.or.jp/at/2021/at210037.html
Atlassian「Confluence Security Advisory - 2021-08-25」:https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
bleepingcomputer「US govt warns orgs to patch massively exploited Confluence bug」:https://www.bleepingcomputer.com/news/security/us-govt-warns-orgs-to-patch-massively-exploited-confluence-bug/