Trusted Design

CVE-2023-22527 の詳細

CVEの情報

説明:
A template injection vulnerability on older versions of Confluence Data Center and Server allows an unauthenticated attacker to achieve RCE on an affected instance. Customers using an affected version must take immediate action. Most recent supported versions of Confluence Data Center and Server are not affected by this vulnerability as it was ultimately mitigated during regular version updates. However, Atlassian recommends that customers take care to install the latest version to protect their instances from non-critical vulnerabilities outlined in Atlassian’s January Security Bulletin.

CVE更新日: 2024-01-16 05:15:08.290000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2024-01-24

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.943540000

EPSS更新日: 2026-06-03 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2023-22527は、Atlassian Confluence Data CenterおよびConfluence Serverに存在する深刻な脆弱性です。以下にその詳細を解説します。

1. 脆弱性の概要

CVE-2023-22527は、Atlassian Confluence Data CenterおよびServerの古いバージョンにおけるテンプレートインジェクションの脆弱性です。この脆弱性を悪用することで、認証されていない攻撃者がConfluenceインスタンスにOGNL (Object-Graph Navigation Language) 式を注入し、結果としてリモートから任意のコードを実行することが可能になります。

1.1 影響

この脆弱性が悪用された場合、認証されていない攻撃者は対象のシステム上で任意のコードやシステムコマンドを実行できるようになります。 実際に、この脆弱性を利用して暗号資産(仮想通貨)を不正に採掘する「クリプトジャッキング」攻撃が確認されています。

1.2 深刻度

共通脆弱性評価システムCVSSv3.0におけるベーススコアは最高の10.0であり、「クリティカル(Critical)」と評価されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、Atlassian Confluence Data CenterおよびConfluence Serverが対象です。

特に、2023年12月5日より前にリリースされたすべての8.x系バージョンが影響を受けます。具体的には以下のバージョンが含まれます。

  • Confluence Data Center and Server 8.0.x
  • Confluence Data Center and Server 8.1.x
  • Confluence Data Center and Server 8.2.x
  • Confluence Data Center and Server 8.3.x
  • Confluence Data Center and Server 8.4.x
  • Confluence Data Center and Server 8.5.0から8.5.3

また、Atlassianのセキュリティバグ修正ポリシーに従って修正がバックポートされなかったバージョン8.4.5も脆弱です。

Atlassian Cloudサイトは、この脆弱性の影響を受けません。

2.2 影響を受ける設定

特定の「設定」が脆弱性の原因となるというよりは、影響を受けるバージョンのConfluence Data CenterおよびServerの製品自体のテンプレート処理機能に内在する脆弱性です。OGNL式を不正に評価してしまうテンプレートインジェクションの欠陥が、影響を受けるバージョンに存在します。

3. 影響を受けた時の兆候

  • 不審なリモートコード実行の試行(例:「whoami」コマンドの実行など)。
  • 不正な暗号資産マイニング活動(CPU使用率の異常な上昇など)。
  • 不審なネットワーク通信(C2 (command-and-control) チャネルの確立やMetasploitペイロードの展開など)。
  • システムリソース(CPU、メモリ、ネットワーク帯域)の異常な消費。

4. 推奨対策

4.1 本対策

最も推奨される対策は、直ちにConfluence Server/Data Centerを修正済みバージョンへアップグレードすることです。

脆弱性が修正されたバージョンは以下の通りです。

  • Confluence Server:
    • 8.5.4 (LTS)
    • 8.5.5
  • Confluence Data Center:
    • 8.5.4 (LTS)
    • 8.5.5
    • 8.6.0
    • 8.7.1
    • 8.7.2

最新バージョンへのアップグレードは、この脆弱性だけでなく、Atlassianが1月に公開したセキュリティ情報に記載されている他の非クリティカルな脆弱性からもインスタンスを保護するためにも推奨されます。

4.2 暫定回避策(緩和策)

Atlassianからは、アップデート以外の既知の回避策は報告されていません。

ただし、以下の措置も検討できます。

  • インターネット経由でアクセス可能なConfluenceインスタンスについては、直ちにネットワークからシステムを切り離し、侵害の兆候を徹底的に調査することが推奨されます。
  • Trend Micro製品(Trend Vision One、TippingPoint、Deep Discovery Inspector、Cloud One - Workload Security)などのセキュリティソリューションは、この脆弱性を突いた攻撃からシステムを保護するルールを提供しています。
  • Wallarmのような仮想パッチ機能を持つアプリケーションセキュリティソリューションは、恒久的な修正が適用されるまでの間、悪用試行をブロックするための追加のセキュリティ層として利用できます。

他に解説すべき観点

  • 概念実証(PoC)コードの公開と活発な攻撃: 脆弱性の公開後すぐに概念実証(PoC)コードがインターネット上で公開されており、誰でも容易に入手できる状況です。 実際、2024年1月以降、本脆弱性を標的とした攻撃が活発に観測されており、600以上のユニークなIPアドレスから数千件もの攻撃試行が報告されています。
  • CISAのKVEカタログへの追加: 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2024年1月24日に「悪用が確認された脆弱性カタログ(KEV)」にCVE-2023-22527を追加し、行政機関に対応を求めています。

参照サイト:

NVDサイト

NVDでCVEの詳細を見る

戻る