アメリカサイバー軍が「Atlassian Confluenceの重大な脆弱性の修正パッチを今すぐ適用すべき」と警告

アメリカサイバー軍所属のサイバー国家作戦部隊(CNMF)が2021年9月3日(土)に、Atlassian Confluenceの重大な脆弱性「CVE-2021-26084」について、「脆弱性の悪用が依然として続いており、今後加速すると見られます。まだ修正パッチを適用していない場合は今すぐ行うべきです。週明けを待つことはできません」と呼びかけました。

Atlassian Releases Security Updates for Confluence Server and Data Center | CISA
https://us-cert.cisa.gov/ncas/current-activity/2021/09/03/atlassian-releases-security-updates-confluence-server-and-data

US govt warns orgs to patch massively exploited Confluence bug
https://www.bleepingcomputer.com/news/security/us-govt-warns-orgs-to-patch-massively-exploited-confluence-bug/

CVE-2021-26084: Confluenza - Censys
https://censys.io/blog/cve-2021-26084-confluenza/?hss_channel=tw-3566263693

Confluenceは企業内で従業員がさまざまなプロジェクトで共同作業するために設計されたウェブベースのチームワークスペースで、オーストラリアの企業・Atlassianによって提供されています。

CNMFが指摘しているのは、Atlassianが2021年8月下旬にセキュリティアドバイザリを公開した脆弱性「CVE-2021-26084」です。この脆弱性は、Confluenceサーバーあるいはデータセンターのインスタンスで認証されていない攻撃者が任意のコードを実行できるようになるOGNL(Object Graph Navigation Library)インジェクションというもの。

IT系ニュースサイトであるBleepingComputerによれば、すでにサーバーにブラジル、中国、香港、ネパール、ルーマニア、ロシア、アメリカから侵入された形跡が発見されたり……

PowerShellやLinuxシェルスクリプトが展開されたり、Confluenceサーバーに仮想通貨マイニングプログラムを勝手にインストールされたりなど、CVE-2021-26084の悪用事例が複数報告されているとのこと。

Atlassianは2021年8月25日に、CVE-2021-26084の修正パッチを含むセキュリティアップデートをリリースしました。しかし、IoT特化型検索エンジンを開発するCensysは公式ブログで、「CensysがConfluenceサーバーとして識別した1万4701件のサービスのうち、1万3596件のポートと1万2876件の個別のIPv4ホストが、修正パッチを適用していない」と、2021年8月31日に報告しました。

その後、Confluenceの脆弱性についてのニュースが拡散されるにしたがって修正パッチを適用するサーバーが増え、2021年9月5日時点で脆弱なConluenceインスタンスが8597件にまで減ったとCensysは報告しています。

アメリカサイバー軍は、Atlassianが配布する修正パッチを至急適用するように呼びかけています。

また、アメリカ国土安全保障省のサイバーセキュリティ管轄当局であるサイバーセキュリティ・インフラストラクチャ安全保障局(CISA)も「リモートの攻撃者がこの脆弱性を悪用し、影響を受けるシステムを制御下に置いてしまう可能性があります」と述べ、Confluenceユーザーと管理者にセキュリティアドバイザリを確認し、必要な更新をすぐに適用するように呼びかけました。