この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年7月21日時点の情報です)
Questions For Confluence App Security Advisory- Hardcoded Credentials - CVE-2022-26138
要約 | Questions for Confluence アプリで作成されたハードコードされた資格情報を持つ Confluence アカウントに関する脆弱性 (CVE-2022-26138) |
|---|---|
アドバイザリのリリース日 | 午前 2時 (JST) |
対象製品 | Questions For Confluence アプリ (Confluence Server 版 / Confluence Data Center 版)
|
CVE ID(s) |
|
Questions For Confluence アプリ Confluence Cloud 版は影響を受けません
脆弱性の概要
Confluence Server または Data Center で Questions For Confluence アプリ を有効にしている場合、ユーザー名 disabledsystemuser で Confluence ユーザーアカウントが作成されます。
(このアカウントは、アプリデータを Confluence Cloud へ移行する管理者作業を軽減するためのものです)
disabledsystemuser アカウントは、ハードコードされたパスワードで作成され、 confluence-users グループに追加されます。このグループは、デフォルトの権限設定では Confluence 内で制限されていないすべてのページの表示や編集ができます。
そのため、ハードコードされたパスワードを知っているリモートの認証していない攻撃者は、この脆弱性を悪用して Confluence へログインできます。
Atlassian 社では、この問題が悪用されたという報告を現時点では受けていませんが、ハードコードされたパスワードは、影響を受けるバージョンのアプリをダウンロードして確認すれば、簡単に入手することができます。
この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/CONFSERVER-79483
深刻度
Atlassian 社は、本脆弱性の セキュリティ問題の深刻度 を 重大 レベルと評価しています。
影響有無の確認方法
Confluence Server または Data Center インスタンスに以下の情報を持つアクティブなユーザーアカウントが存在している場合、本脆弱性の影響を受けています。
ユーザー:
disabledsystemuserユーザー名:
disabledsystemuserメールアドレス:
dontdeletethisuser@email.com
このアカウントは、Questions for Confluence アプリを過去にインストールしてその後アンインストールした場合も存在する可能性があることに注意してください。
このアカウントがアクティブなユーザーの一覧に表示されない場合は、ご利用の Confluence インスタンスは影響を受けません。
影響を受けるバージョン
以下のアプリのバージョンは、ハードコードされたパスワードを持つ disabledsystemuser アカウントを作成するバージョンです。
現時点でこれらのバージョンのアプリをアクティブにインストールしていない環境であっても 引き続き影響を受けている可能性があります。
詳細については上記の「影響有無の確認方法」と下記の「修復方法」セクションをご確認ください。
Questions for Confluence 2.7.x |
|
|---|---|
Questions For Confluence 3.0.x |
|
修復方法
Questions for Confluence アプリをアンインストールしても本脆弱性は修復されません。
アプリをアンインストールしても disabledsystemuser アカウントは自動的に削除されません。
影響を受ける Confluence Server または Data Center インスタンスをお持ちの場合、この脆弱性を修復するために、同様に効果的な2つの方法を以下に記載します。
以下のオプション1かオプション2の実施をおねがいします。
オプション1: Questions for Confluence を脆弱性を持たないバージョンにアップデートする
Questions for Confluence アプリを次の修正済みバージョンにアップレートしてください。
2.7系
2.7.38 以上 (Confluence 6.13.18 - 7.16.2 との互換性あり)
3.0系
3.0.5 以上 (Confluence 7.16.13以降との互換性あり)
アプリの更新方法の詳細については、以下ドキュメントをご参照ください。
Questions for Confluence アプリの修正済みバージョンでは、 disabledsystemuser ユーザーアカウントは作成されず、作成済みである場合はシステムから削除されます。Confluence Cloud へのアプリデータの移行は手動で実施するようにお願いしています。
オプション2: disabledsystemuser アカウントの無効化または削除
disabledsystemuser アカウントを検索し、無効化または削除をお願いします。ユーザーアカウントの無効化または削除方法 (この2つの違いについての説明含む) については次のページをご確認ください。
脆弱性が悪用された証拠の確認方法
disabledsystemuser アカウントでログインされていたかを確認するには、ユーザーの最終ログイン時刻の一覧の取得方法を案内している次のドキュメントをご確認ください。
disabledsystemuser の最終認証時刻が null である場合、アカウントは存在していますが過去にログインしていないことを意味します。