目次

Confluence Server/Data Center における権限昇格の脆弱性 - CVE-2023-22515

脆弱性の説明

Atlassian 社は、公開されている Confluence Server/Data Center において 外部攻撃者が 脆弱性を悪用し、不正な Confluence 管理者アカウントを作成して Confluence インスタンスにアクセスしている可能性がある問題を、少数の顧客から報告されていることを発表しました。

この脆弱性は匿名で悪用できるため、公開されている Confluence インスタンスは特にリスクがあります。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

以下の「影響を受けるバージョン」に記載の Confluence Server/Data Center のバージョンのみが本脆弱性の影響を受けます。
これらのバージョンをご利用の方は、できるだけ早く インスタンスを アップグレード するようにお願いします。

必要なアクション

影響を受けるバージョンをご利用の環境については、以下の対応を強く推奨します。

• Confluence Server/Data Center のバージョンを修正済みバージョンへアップグレードすること

  • すぐにアップグレードできない場合は軽減策を実施すること

• セキュリティチームにて本脆弱性による侵害の痕跡をチェックすること（下記の「脅威を検知する」セクションをご確認ください）

修正済みバージョン

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

Confluence Data Center と Confluence Server の最新バージョンの詳細については、こちら のリリースノートをご覧ください。最新バージョンはダウンロードセンターからダウンロードできます。

軽減策

Confluence をすぐにアップグレードできない場合、一時的な措置として、影響を受けるインスタンスの外部ネットワークアクセスを制限することを推奨します。

また、Confluence インスタンスへの /setup/* エンドポイントへのアクセスをブロックすることで、本脆弱性に対する既知の攻撃を軽減することができます。ネットワーク層（Confluence 前段に配置のプロキシサーバー等）か、あるいは Confluence 設定ファイルに以下の変更を加えることで可能です。

1. ＜Confluence インストールディレクトリ＞/confluence/WEB-INF/web.xml のファイル末尾の</web-app> タグ直前に、以下のコードブロックを加えます。（クラスタ構成の場合は各ノードに対し設定します）

   <security-constraint> <web-resource-collection> <url-pattern>/setup/*</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint>

2. Confluence サービスを再起動します。

※ この操作は、通常の Confluence の利用には影響がない セットアップのページへのアクセスをブロックします。

脅威を検知する

修正済みバージョンへのアップグレードだけでなく、Confluence インスタンスに対し、以下のように侵害の兆候がないかチェックすることを推奨します。

• confluence-administrators グループに予期せぬメンバーが所属していないか

• 不正に新規作成されたユーザーアカウントがないか

• ネットワークのアクセスログに /setup/*.actionへのリクエストが含まれていないか？

• atlassian-confluence-security.log (<Confluence ホームディレクトリ>/logs )に /setup/setupadministrator.action が含まれていないか？

FAQ

Atlassian 社が作成しました FAQの記事は以下をご参照ください。

• CVE-2023-22515 の FAQ