ワシントンD.Cに位するサイバーセキュリティ会社の Volexity1) によると、インターネットにつながられているウェブサーバーに対する侵害対応の進行中、Atlassian Confluence (アトラシアンコンフルエンス)サーバーが設置されたサーバーにウェブシェルがアップロードされていることが発見されました。Volexity は Atlassian Confluence と関連する問題と判断し、エクスプロイトコードを作成し、最新のパッチが適用された状態でもリモートコード実行が可能なゼロデイ脆弱性であることを確認し、そのイシューを Atlassian にリポートしました。(5月31日 PDT)

Atlassian ではイシューを提供され、ゼロデイ脆弱性であることを確認した後、認証されていないリモートコード実行脆弱性の CVE-2022-26134 に関するセキュリティ勧告 を発表した。最初は、セキュリティパッチを公開せず、脆弱性のみを発表しましたが、6/3 PDT 現在、パッチと臨時の処置方法を含めセキュリティ勧告が再投稿されています。また、同時に Volexity でもそのゼロデイに関する内容を Twitter に投稿しました。

1) Volexity の CTO MICHAEL HALE LIGH で、マルウェア分析の教科書とも言える Malware Analyst’s Cookbook の著者の一員である。
Volexity Twitter にアップロードされた Atlassian Confluence ゼロデイに関する投稿

Volexity Twitter にアップロードされた Atlassian Confluence ゼロデイに関する投稿

Atlassian Confluence ゼロデイ のタイムライン

  • 5/31 Volexity で Atlassian Confluence ゼロデイ 脆弱性を発見
  • 6/2 1pm CVE-2022-26134 脆弱性の勧告リリース、Atlassian とVolexity で公式発表
  • 6/3 8am Atlassian でセキュリティパッチを公開せず、脆弱性を緩和される方法を公開
  • 6/3 8pm Atlassian で脆弱性の解決セキュリティアップデートをリリース

(全ての時間は PDT に基づく)

MS エクスチェンジサーバー攻撃の際でも使われたウェブシェル

Volexity の分析レポート によると、攻撃者は CVE-2022-26134 脆弱性を利用してウェブシェルをアップロードすることができ、特に、チャイナチョッパー (China Chopper) ウェブシェル がアップロードされていることを確認したとのことです。チャイナチョッパーウェブシェルは今回の件に似ているセキュリティ脆弱性のイシューで、以前のマイクロソフトエクスチェンジサーバーの時に、悪名をはせたウェブシェルです。中国のハッキンググループの ハフニウム(Hafnium) が生成したと推定されているウェブシェルで、攻撃者が浸透に成功した後、このウェブシェルを設置しておくと、ゼロデイを解決する最新パッチを適用しても、相変わらず攻撃者は自由にサーバーを出入りすることができます。(エクスチェンジサーバー事件と同様に)

チャイナチョッパーウェブシェルで知られているギットハブ(GitHub)リンク
https://github.com/tennc/webshell/blob/master/caidao-shell/%E8%8F%9C%E5%88%80jsp%E4%BF%AE%E6%94%B9.jsp

他のウェブシェル
md5: ea18fb65d92e1f0671f23372gf60e7
sha1 : 80b327ec19c7d14cc10511060ed3a4abffc821af

ウイルストータル(Virustotal)に診断された結果
https://www.virustotal.com/gui/file/5f3d46a5d18c25c7ee63f6bbe9af930d3be44f541625363a029f23de25cd36ae

チャイナチョッパーに対するMitre Att&ck リンク
https://attack.mitre.org/software/S0020

相変わらずインターネットに漏洩された Confluence サーバー

アメリカのメモリアル・デー休日から始まったゼロデイ攻撃でもかかわらず、Atlassian では結構速い速度でセキュリティパッチをリリースしたと思います。しかし問題は、まだインターネットには数多くの Confluence サーバーがつながっている状態であるところです。マイクロソフトエクスチェンジサーバーの件と同様に、セキュリティアップデートがリリースされた後も、放置されたサーバは数ヶ月が経ってもパッチをせず、それらは相変わらずインターネットにつながっていました。

AI Spera の CIP Team は Criminal IP を利用してインターネットにつながっている Atlassian Confluence がどのぐらい存在しているか、その内容を調べてみました。要素分析  tech_stack: “Atlassian Confluence” フィルターを使用するとインターネットにつながっている漏洩された国ごとの Confluence 統計を見られます。

tech_stack: “Atlassian Confluence”

Criminal IP の 要素分析で確認した約70国に設置されている 5,600件以上の Confluence サーバー統計

Criminal IP の 要素分析で確認した約70国に設置されている 5,600件以上の Confluence サーバー統計

上のスクリーンショットを見ると、インターネットには 5,600件以上の Confluence サーバーが約70国に設置されれいることを確認できます。アセット検索  を介して各 IP アドレスを確認してみると、実際は下のように Confluence が設置されたままインターネットに無防備で漏洩されたいることが確認できました。 

Criminal IP アセット検索で検索した漏洩された Confluence の画面

Criminal IP アセット検索で検索した漏洩された Confluence の画面

Criminal IP アセット検索で検索した漏洩された Confluence

Criminal IP アセット検索で検索した漏洩された Confluence

 

更に問題になることは、このような IP アドレスが実際の企業や機関で使われいるアドレスの場合がかなり多いことです。IP アドレスの ASN Name で調べると、無論、大方の場合はAWS、MS Azure、Google などのクラウドサーバーですが、それはただ、機関や企業がクラウドサーバーを使用することで出た結果に過ぎず、下の画面の Dashboard – XXXX に表示されている html の title を見ると、クラウドサーバーを使用してもどこの企業または、機関の Confluence サーバーであるかを推定できます。 

Criminal IP で検索した漏洩された Confluence サーバーの ASN Name 統計

Criminal IP で検索した漏洩された Confluence サーバーの ASN Name 統計

このようなウィキシステムの場合、企業では多数のサーバーではなく、一台、二台のぐらいのサーバーを持っているので、IP アドレスのASN Name で調べて見るときは、結果の数が多い ASN Name で分類することより結果が少ない順番で(つまり、結果が 1~2 であることを中心に)見ることがより具体的な結果を把握しやすいです。例えば、下の場合はたとえ1件だけが検知されているが、ASN Name が university of XXX の風に表記された、ある学校で使われる IP アドレスで、学校内の研究室などで設置されている Confluence サーバーの可能性があります。 

漏洩された Confluence サーバーの中で ASN Name で抽出した学校での IPアドレス

漏洩された Confluence サーバーの中で ASN Name で抽出した学校での IPアドレス

実際、以下のような場合、アメリカのある Medical School の Confluence がインターネットで発見され、更に深刻なことは、ログイン認証をしなくても情報が全部公開されていること です。

Criminal IP で検索したアメリカの Medical School の漏洩された Confluence、ログイン認証をしなくても情報が公開されている。

Criminal IP で検索したアメリカの Medical School の漏洩された Confluence、ログイン認証をしなくても情報が公開されている。

攻撃 IP 分析

Volexity が公開した IOC  によると、最初攻撃が発見された侵害例で Confluence 攻撃を行った後、ウェブシェルとコミュニケーションしている15の IP アドレスを確認できます。Criminal IP で分析した結果、その IP アドレスの中で、特に下の5の IP アドレスは VPN サービスが稼働されている IP アドレスであることが確認されました。最近、ゼロデイ攻撃を進行したり、APT 攻撃を敢行したりする上で攻撃者は悪性度の高い IP アドレスを活用しない傾向があります。その代わりに、攻撃者の IP アドレスで VPN サービスがよく確認されます。予め浸透しておいたサーバーを経由するとき、VPN で通過してアクセスするために、VPN サービスを設置しておく目的で予想され、すなわち企業からインバウンド IP アドレスに関して VPN IP アドレスであるかを必ず検知するべきの今のセキュリティトレンドにつながれます。

下は Criminal IP で vpn でタグされた IP アドレスです。ちなみに、その他の1つの Tor IP アドレスも確認されました。

156.146.56.136 vpn
198.147.22.148 vpn
59.163.248.170 vpn
64.64.228.239 vpn
66.115.182.102 vpn
66.115.182.111 vpn

156.146.34.9 Tor

Volexity が公開した Confluence ゼロデイ侵害例の15の IP アドレスの1つを Criminal IP で分析した結果。VPN IP アドレスであることが検知されました。

Volexity が公開した Confluence ゼロデイ侵害例の15の IP アドレスの1つを Criminal IP で分析した結果。VPN IP アドレスであることが検知されました。

脆弱な状態を確認する方法

本人が Confluence を使用し、本人の PC からブラウザを介して Confluence でアクセスできる状態であれば、下のようなコマンドを curl で送ったり、python スクリプトで現在使用している Confluence サーバーが脆弱であるかを確認できます。もし、あなたが IT 関連の部署または、セキュリティ部署ではない場合も確認できるので、本人の会社が使っている Confluence を下の方式で点検し、すぐに担当部署にパッチをお勧めください。

https://your_confluence_address/${(#result=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(“id”).getInputStream(),”utf-8″)).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader(“X-Cmd-Response”,#result))}/

your_confluence_address 部分を変更すると、curl で次のように確認できます。X-Cmd-Response のヘッダに Confluence サーバーの uid、gid、group 内容がアウトプットされる場合、このサーバーは現在 CVE-2022-26134 脆弱性を持つ状態と見られます。

curl -v -k --head https://your_confluence_address/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/ | grep X-Cmd-Response

結論

Atlassian は2022年6月3日に CVE-2022-26134 向けのパッチをリリースしました。しかし、Confluence の特長上、あらゆる人々が重要な情報を共有するための Wiki システムであるほど、セキュリティアップデートのためにサーバーをオンオフすることが負担になる組織があるかもしれません。そのような場合、手動でセキュリティ問題だけを解決できる方法も提案しているので Atlassian の勧告 に従って、急いで処置することをお勧めします。

ゼロデイ攻撃が公開されたとき、このように供給業者は適切なセキュリティアップデートのために、積極的に取り組んでいます。しかし、大方の脆弱性とは違って、このようなウェブシステムの脆弱性は複雑な条件なしに、ゼロデイが登場するとたん外部から攻撃しやすい状態になってしまいます。そして、パッチを行ってもウェブシェルでバックドアを開けておいたら、ハッカーが出入りできる他のドアが既にできた状態なので、別のセキュリティ点検処置を追加的に行うべきです。このようなゼロデイを介したリモートコード実行の脆弱性が登場すると、ウェブシェルを利用したバックドアの設置でつながられるパータンが絶えないでいます。エクスチェンジの件を含め、今回の Confluence 件までウェブシェル攻撃はこれからも続くでしょう。

ちなみに、昨年も Confluence のゼロデイ攻撃 が登場し、手に負えない経験をしました。Confluence は世界的にトップランクに入る有名なシステムですが、その分、強烈な攻撃ターゲットになっています。また、最も恐ろしいところは企業・機関の重要情報が一か所にまとめておいた点からハッカーがひどく欲しがるサーバーであることです。従って、Confluence を使う企業や機関で何より先に行うべきことは、Confluence Server のインスタンスに対する外部のアクセスを即時ブロックすることです。また、このような重要情報管理システムが外部に漏洩されないよう定期的に攻撃対象領域管理でモニタリングと点検を行うべきです。


データの提供:Criminal IP