Questions For Confluence App Security Advisory- Hardcoded Credentials - CVE-2022-26138 2022-07-20 日本語訳
2022年 8月1日更新: Atlassian 社が 2022年 7月31日 (JST) にセキュリティアドバイザリを更新した内容を反映しました。
本脆弱性の対応をしていない場合、Confluence のアクティビティ情報を含んだ email が サードパーティのメールアドレス に送信されている可能性があります。
詳細は 「脆弱性の概要」セクションの 「2022年 7月31日更新情報」欄と、「電子メールによる情報開示有無の確認方法」セクションをご確認ください。
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです
Questions For Confluence App Security Advisory- Hardcoded Credentials - CVE-2022-26138
要約 | Questions for Confluence アプリで作成されたハードコードされた資格情報を持つ Confluence アカウントに関する脆弱性 (CVE-2022-26138) |
---|---|
アドバイザリのリリース日 | Jul 21, 2022 午前 2時 (JST) |
対象製品 | Questions For Confluence アプリ (Confluence Server 版 / Confluence Data Center 版) Questions For Confluence アプリ Confluence Cloud 版は影響を受けません |
CVE ID(s) |
|
脆弱性の概要
Confluence Server または Data Center で Questions For Confluence アプリ を有効にしている場合、ユーザー名 disabledsystemuser
で Confluence ユーザーアカウントが作成されます。
(このアカウントは、アプリデータを Confluence Cloud へ移行する管理者作業を軽減するためのものです)
disabledsystemuser
アカウントは、ハードコードされたパスワードで作成され、 confluence-users
グループに追加されます。このグループは、デフォルトの権限設定では Confluence 内で制限されていないすべてのページの表示や編集ができます。
そのため、ハードコードされたパスワードを知っているリモートの認証していない攻撃者は、この脆弱性を悪用して Confluence へログインできます。
Atlassian 社では、この問題が悪用されたという報告を現時点では受けていませんが、ハードコードされたパスワードは、影響を受けるバージョンのアプリをダウンロードして確認すれば、簡単に入手することができます。
この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/CONFSERVER-79483
2022年7月31日更新情報
disabledsystemuser
アカウントは、Atlassian が管理していないサードパーティーメールアドレスが設定されています。
下記の「修復方法」で本脆弱性の対応をされていない場合は、影響を受ける Confluence インスタンスでメールが送信できるように構成されていると、このメールアドレスにメールが送信されます。
メール通知の一例は、参照権限を持つスペースのトップページのレポートを送る お勧め更新通知のメール です。
Atlassian 社は、サードパーティー・メールアドレスのサービスプロバイダーと協力して調査し、このアカウントをクローズしています。
また、外部の人間が、ハードコーディングされたパスワードを発見して、Twitter で公開しています。
深刻度
Atlassian 社は、本脆弱性の セキュリティ問題の深刻度 を 重大 レベルと評価しています。
影響有無の確認方法
Confluence Server または Data Center インスタンスに以下の情報を持つアクティブなユーザーアカウントが存在している場合、本脆弱性の影響を受けています。
ユーザー:
disabledsystemuser
ユーザー名:
disabledsystemuser
メールアドレス:
dontdeletethisuser@email.com
このアカウントは、Questions for Confluence アプリを過去にインストールしてその後アンインストールした場合も存在する可能性があることに注意してください。
このアカウントがアクティブなユーザーの一覧に表示されない場合は、ご利用の Confluence インスタンスは影響を受けません。
影響を受けるバージョン
Questions for Confluence 2.7.x |
|
---|---|
Questions For Confluence 3.0.x |
|
修復方法
オプション1: Questions for Confluence を脆弱性を持たないバージョンにアップデートする
Questions for Confluence アプリを次の修正済みバージョンにアップレートしてください。
2.7系
2.7.38 以上 (Confluence 6.13.18 - 7.16.2 との互換性あり)
3.0系
3.0.5 以上 (Confluence 7.16.13以降との互換性あり)
アプリの更新方法の詳細については、以下ドキュメントをご参照ください。
Questions for Confluence アプリの修正済みバージョンでは、 disabledsystemuser
ユーザーアカウントは作成されず、作成済みである場合はシステムから削除されます。Confluence Cloud へのアプリデータの移行は手動で実施するようにお願いしています。
オプション2: disabledsystemuser
アカウントの無効化または削除
disabledsystemuser
アカウントを検索し、無効化または削除をお願いします。ユーザーアカウントの無効化または削除方法 (この2つの違いについての説明含む) については次のページをご確認ください。
脆弱性が悪用された証拠の確認方法
disabledsystemuser
アカウントでログインされていたかを確認するには、ユーザーの最終ログイン時刻の一覧の取得方法を案内している次のドキュメントをご確認ください。
disabledsystemuser
の最終認証時刻が null
である場合、アカウントは存在していますが過去にログインしていないことを意味します。