新たな証拠概念(PoC)の攻撃が、Atlassian Confluence Data CenterおよびConfluence Serverの脆弱性を狙って広まっている。これらの攻撃は、ファイルシステムに触れることなく、Confluenceのメモリ内で任意のコードを実行することを可能にする。
VulnCheckの研究者たちは、2023年1月に公開されたリモートコード実行(RCE)の脆弱性CVE-2023-22527に対する攻撃を追跡しており、現在、この脆弱性に対する30種類のユニークな実際の攻撃を追跡している。これらの攻撃の多くは、攻撃者がサーバーを遠隔操作し、任意のコマンドを実行し、ファイルのアップロードやダウンロード、データベースの操作などを行うことを可能にする「Godzilla Web shell」を利用している。
VulnCheckの研究者たちは、メモリ内ペイロードを使用する新しいアプローチを発見し、その限界を探るために自ら3つのPoCを開発した。このメモリ内でのコード実行は、防御者による検出が難しいより隠密で武装した攻撃方法である。
VulnCheckのCTOであるJacob Bainesは、Confluenceがビジネス情報の宝庫であり、内部ネットワークへの「良い足がかり」となるため、攻撃者にとって魅力的なターゲットであると指摘している。また、Confluenceに対する攻撃は、VPNを介して行うべきであり、攻撃面の管理がこれらの高度な問題を軽減する方法であると述べている。
Bainesは、Confluenceだけでなく、Object-Graph Navigation Language(OGNL)式に関連する脆弱性がある他の製品に対しても、メモリ内アプローチのリスクが非常に高いと警告している。組織は、この種の攻撃を検出するために、例えばネットワークベースの検出やJavaメモリ内の悪意のあるWebシェルをスキャンするなど、対策を進化させる必要がある。
【ニュース解説】
Atlassian Confluence Data CenterおよびConfluence Serverに対する新たな攻撃手法が発見されました。この攻撃は、2023年1月に公開されたリモートコード実行(RCE)の脆弱性CVE-2023-22527を悪用し、ファイルシステムに触れることなく、Confluenceのメモリ内で任意のコードを実行することが可能です。VulnCheckの研究者たちは、この脆弱性に対する30種類の実際の攻撃を追跡しており、特に「Godzilla Web shell」を利用した攻撃が目立っています。このWeb shellを通じて、攻撃者はサーバーを遠隔操作し、様々な悪意のある活動を行うことができます。
さらに、VulnCheckの研究者たちは、メモリ内ペイロードを使用する新しいアプローチを発見しました。この方法では、Confluenceのメモリ内で直接コードを実行し、従来のファイルベースの攻撃よりも検出が困難になります。この技術は、防御側がファイルを分析することによってのみ攻撃者を検出している現状に対して、より隠密性が高く、武装した攻撃方法と言えます。
この攻撃手法の発見は、Confluenceがビジネス情報の宝庫であり、内部ネットワークへのアクセスポイントとして利用される可能性があるため、特に重要です。攻撃者にとっては、ランサムウェア攻撃などに利用するための魅力的なターゲットとなります。そのため、ConfluenceをVPNを介してのみアクセス可能にするなど、攻撃面の管理を強化することが推奨されます。
また、この脆弱性はConfluenceに限らず、Object-Graph Navigation Language(OGNL)式を使用する他の製品にも影響を及ぼす可能性があります。これは、Javaオブジェクトに対して様々な操作を簡潔な構文で行うことを可能にする技術です。組織は、ネットワークベースの検出やJavaメモリ内の悪意のあるWebシェルをスキャンするなど、新たな攻撃手法に対応するための対策を進化させる必要があります。
このような攻撃手法の出現は、サイバーセキュリティの分野において常に新たな脅威が現れることを示しています。組織は、既存のセキュリティ対策を見直し、新たな脅威に対応するための準備を怠らないことが重要です。また、この攻撃手法の発見は、サイバーセキュリティの専門家にとっても、新たな研究の対象となり得るため、この分野の発展に寄与する可能性があります。
from Stealth Bomber: Atlassian Confluence Exploits Drop Web Shells In-Memory.
