脆弱性
Atlassianは8月下旬、企業向けWikiツール「Confluence」の脆弱性CVE-2021-26084を修正するアップデートのリリースを発表しました(リンク先は英語)。同社はJira、Confluence、Hipchat などのツールを提供する企業です。この発表以降、脆弱なConfluence Serverを探索する大規模な動きと活発な悪用の試みが見られています(英語記事)。Confluence Server/ Confluence Data Centerの速やかなアップデートを推奨します。
CVE-2021-26084とは何か
CVE-2021-26084はConfluenceに存在する脆弱性で、Confluence のタグシステム内でのObject-Graph Navigation Language(OGNL)の使用に端を発します。この脆弱性はOGNLコードのインジェクションを許すため、Confluence ServerまたはConfluence Data Centerがインストールされているコンピューター上で任意のコードを実行可能となります。場合によっては、認証されていないユーザーがこの脆弱性を悪用可能です([Allow people to sign up to create their account]のオプションが有効になっている場合)。
Atlassianはこの脆弱性を深刻なものと捉え、CVSSスコアは9.8(緊急)を割り当てています。この脆弱性を悪用する概念実証コードは、リモートコード実行(RCE)を許す1バージョンを含めて複数あり、すでにオンラインで入手可能な状況です。
影響を受けるConfluenceバージョン
状況は少々複雑です。Atlassianの顧客はさまざまに異なるバージョンのConfluenceを使用しており、アップデート状況も不明です。Atlassianの公式サイトによると、バージョン6.13.23、7.4.11、7.11.6、7.12.5、7.13.0向けのアップデートがすでにリリースされています。CVE-2021-26084の影響を受けるのは、バージョン6.13.23未満、6.14.0〜7.4.11、7.5.0〜7.11.6、7.12.0〜7.12.5です。Confluence Cloudを利用している場合は影響を受けません。
対策
Atlassianは、最新バージョンのConfluence(7.13.0)の使用を推奨しています。最新バージョンを利用できない場合、バージョン6.13.xを使用中ならば6.13.23、7.4.xならば7.4.11、7.11. xならば7.11.6、7.12 xならば7.12.5へのアップデートが推奨されています。また、アップデートを適用できない場合の一時的な回避策として、Linuxベースのシステム向けスクリプトおよびMicrosoft Windowsベースのシステム向けスクリプトが提示されています。
Confluenceが実行するマシンは、その他サーバーと同様、エンドポイントです。そしてその他サーバーと同様に、任意コードの実行を困難にするセキュリティソリューションが必要です。
この脆弱性をリモートから悪用するに当たり、攻撃者はその企業のネットワーク内に入る必要があります。Managed Detection and Responseクラスのサービスは、この種の不審なアクティビティを検知可能です。また、社内サービスに社外からアクセスできないように、Confluenceへのアクセスを制限すべきであることも念頭に置きたいところです。
ヒント