バラクーダの注目する脅威「Atlassian Confluence のゼロデイを悪用しようとする試み」
クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.(本社:米国カリフォルニア州キャンベル)の日本法人、バラクーダネットワークスジャパン株式会社(東京都品川区、執行役員社長:大越大造、以下「バラクーダネットワークス」)は、本日、「バラクーダの注目する脅威:Atlassian Confluence のゼロデイを悪用しようとする試み」について、調査結果を発表しました。
2022年6月2日、Volexityは、Atlassian Confluenceのゼロデイ脆弱性(CVE-2022-26134)が悪用されていることを開示しました。最初の公開と、その後のさまざまな概念実証の公開以降、バラクーダの研究者は、世界中からのデータを分析し、この脆弱性を悪用しようとする多数の試みを発見しました。エクスプロイトの試みは、良性の内偵から、DDoSボットネットマルウェアとクリプトマイナーでシステムを感染させるための比較的複雑な試みまで多岐にわたります。
バラクーダの調査担当者は、6月13日を筆頭に、いくつかのスパイクを伴いながら、長期にわたって安定した攻撃の流れを確認しています。当面は、このような試みが相当数続くと予想されます。
図1: CVE-2022-26134脆弱性悪用の試み
ハイライト:
Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。
この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。
攻撃は、主にロシアのIPアドレスから発生し、米国、インド、オランダ、ドイツがそれに続いています。これまでの研究で見られたように、米国のIPアドレスから発信されていると見られる攻撃は、主にクラウドプロバイダーからのものです。同様に、ドイツについては、ほとんどの攻撃がホスティングプロバイダーからのものでした。
図2:攻撃者のIPアドレス
詳細:
ペイロードの例
私たちが確認した、より「良性」なペイロードをいくつか紹介します。
ペイロード例1:
下記へデコード:
これはよくある試みで、GitHubから直接取得した概念実証(PoC)スクリプトで、基本的にサーバー上で「whoami」コマンドを実行し、実際にConfluenceの脆弱性があるかどうか確認しようとするものです。
ペイロード例 2:
下記へデコード:
これは、netstatを実行しています – システム情報を収集するため(おそらく偵察のため)、または単にホストが脆弱であるかどうかをテストするためです。「whoami」と「etc/passwd読み取り」のケースと似ています。
その他ペイロード例については、こちらをご覧ください。
攻撃からの防御:
前述のとおり、この脆弱性に対する関心度は、時折急上昇しながらも安定しており、当社の調査担当者は、しばらくの間、スキャンや悪用しようとする試みを目にすることになると予想しています。サイバー犯罪者の関心は非常に高いため、システムを保護の措置を講じることが重要です。
– パッチ適用 – 特にインターネットに接続するシステムの場合、今がパッチを適用する理想的なタイミングです。
– ウェブアプリケーションファイアウォール – このようなシステムの前にウェブアプリケーションファイアウォールを設置することで、ゼロデイ攻撃やその他の脆弱性に対する深層防御を強化できます。
関連リンク:
ブログ:Atlassian Confluence RCE 脆弱性: CVE-2022-26134
https://www.barracuda.co.jp/atlassian-confluence-rce-vulnerability-what-you-need-to-know/
バラクーダネットワークスについて
米国Barracuda Networks Inc. の日本法人。ITにまつわる課題について、メール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。
【本件に関するお問い合わせ】
〒141-0031東京都品川区西五反田8-3-16 西五反田8丁目ビル5階
バラクーダネットワークスジャパン株式会社
E-mail: jsales@barracuda.co.jp
TEL: 050-1791-0524