CatoがAtlassian Confluence Serverのエクスプロイトからの保護を実現 (CVE-2023-22515)

Atlassianは、2023年10月4日に発表したセキュリティアドバイザリにおいて、オンプレミスのConfluence Data Centerおよび Server製品の新たな重大な脆弱性を公表しました。攻撃者が、インターネットからアクセス可能な Confluenceインスタンスの脆弱なエンドポイントを悪用し、未承認の Confluence 管理者アカウントを作成し、Confluence インスタンスにアクセスできるという権限昇格に関する脆弱性です。

本稿執筆時点では、この脆弱性にCVSSスコアは割り当てられていません。しかし、リモートから悪用が可能であり、悪用されるとサーバーへのフルアクセスが可能になることから、非常に高い（9～10）ことが予想されます。

Catoの対応  

公開されているエクスプロイトの概念実証（POC）はありませんが、Atlassianは「外部攻撃者が未知の脆弱性を悪用した可能性があるという少数の顧客からの報告により、このエクスプロイトを認識していたこと」を確認したと述べており、高い確率ですでに悪用されていると推測されます。

このセキュリティアドバイザリがリリースされた直後、Cato リサーチラボは一部の顧客における脆弱なエンドポイント(“/setup/”) の悪用の可能性を特定しましたが、ユーザーの介入を必要とせずにブロックすることに成功しました。このCVEの固有シグネチャが利用可能になる前から、URLスキャナの識別とブロックを目的とした当社のIPSシグネチャによって、この試みはブロックされていました。

オンライン・スキャナーが、アドバイザリーから得られるわずかな情報の迅速な利用を実装していたことから、Confluenceサーバーがどれほど価値の高いターゲットであるかは明らかであり、公開されている Confluenceサーバーが多数存在することを考えると懸念すべきことです。

公開後、Catoは脆弱性のある “/setup/” エンドポイントとのやり取りをブロックするシグネチャを展開し、世界中のCatoに接続しているすべてのユーザーとサイトに対して、検出から保護までの時間を1日と23時間、オプトイン・プロテクションを24時間以内に利用できるようにしました。

さらにCatoは、Confluenceサーバーの管理エンドポイントへのアクセスを許可された IP からのみに制限することを推奨しており、できればネットワーク内から、不可能な場合は Cato ソケット配下や、Catoクライアントを実行しているリモートユーザー、Cato によって保護されたホストからのみアクセスできるようにする必要があります。

Catoリサーチラボは、引き続き追加情報の入手のためにCVEの監視を続けており、より多くの情報が入手可能になった場合、またはPOCが公開され、追加情報が明らかになった場合には、シグネチャを更新します。今後の情報については、CVE軽減のページとリリースノートをご覧ください。