米サイバー軍は、Atlassianの「Confluence」に存在する脆弱性「CVE-2021-26084」が活発に悪用されていると警告を発した。
米国の祝日「レイバーデー」を目前に控えた米国時間9月3日、米サイバー軍は「Atlassian Confluenceの脆弱性CVE-2021-26084が大規模に悪用されており、その勢いは加速している。まだパッチを適用していない場合はただちに適用すべきであり、週明けまで延期すべきではない」とツイートした。
すでに多くのITリーダーが、ソーシャルメディアでこの脆弱性が実際に悪用されていることを認めている。
Atlassianは8月25日にこの脆弱性に関するアドバイザリーを公開し、「Confluence Server」および「Confluence Data Center」のバージョン6.13.23以前、バージョン6.14.0以降かつ7.4.11以前、バージョン7.5.0以降かつ7.11.6以前、バージョン7.12.0以降かつ7.12.5以前がこの「重大なセキュリティ上の脆弱性」の影響を受けると説明している。
同社はアドバイザリーの中で、「Confluence ServerおよびConfluence Data Centerのインスタンスで、認証されていないユーザーが任意のコードを実行可能なOGNLインジェクションの脆弱性が存在する。Confluence ServerおよびConfluence Data Centerの上記の修正バージョンより前の全バージョンがこの脆弱性の影響を受ける」と述べている。また、問題を緩和できるスクリプトを提供している。
また同社は、利用組織のIT部門に対してソフトウェアを最新の長期サポート版にアップグレードするように強く促す一方で、それができない場合の一時的な回避策についてもアドバイザリーで説明している。「Confluence Cloud」の顧客には影響がないという。
すでに複数の研究者がこの脆弱性の悪用方法について説明しており、その仕組みを示す概念実証コードを公開している。
Bad Packetsは、「ブラジル、中国、香港、ネパール、ルーマニア、ロシア、米国のホストから、リモートコード実行の脆弱性を持つAtlassian Confluenceサーバーを標的とした大量のスキャンと脆弱性を悪用する活動が大量に検出された」と述べている。
またBleepingComputerは9月2日に、一部の攻撃グループが、この脆弱性を利用して、「Windows」と「Linux」の両方のConfluenceサーバーに仮想通貨(暗号資産)のマイニングを行うマルウェアをインストールしようとしていると報じている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
