Confluence Data Center/Server における不適切な認証の脆弱性 CVE-2023-22518 2023-10-31 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年11月4日時点の情報です)
目次
- 1 Confluence Data Center/Server における不適切な認証の脆弱性 CVE-2023-22518
- 2 脆弱性の概要
- 2.1 深刻度
- 2.2 影響を受けるバージョン
- 3 必要なアクション
- 3.1 対応策
- 3.1.1 修正済みバージョン
- 3.2 軽減策
- 3.2.1 1.Confluence インスタンスのバックアップを取得する
- 3.2.2 2.外部ネットワークからの遮断
- 3.2.3 3.特定のエンドポイントからのアクセス拒否
- 3.1 対応策
- 4 脅威を検知するには
- 4.1 FAQ
Confluence Data Center/Server における不適切な認証の脆弱性 CVE-2023-22518
要約 | 不適切な認証の脆弱性 |
|---|---|
アドバイザリのリリース日 | Oct 31, 2023 午後1時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2023-22518 |
Atlassian 社の不具合チケット |
脆弱性の概要
2023/11/3 の時点で複数の顧客から被害報告があります。
ただちに対応策か緩和策の実施をお願いします。
Atlassian 社は、公開されている Confluence Server/Data Center において 未認証の外部攻撃者が 脆弱性を悪用し、Confluece のデータを不正に破損できます。
攻撃者がインスタンスデータを流出させることはできないため、機密性への影響はありません。
この脆弱性は匿名で悪用できるため、公開されている Confluence Server/Data Center インスタンスは重大なリスクがあり、ただちに対応が必要です。
詳細な手順については「必要なアクション」を参照してください。
Confluence Cloud は本脆弱性の影響を受けません。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
以下の「影響を受けるバージョン」に記載の通り、修正済みバージョンより前にリリースされたすべての Confluence Server/Data Center のバージョンが本脆弱性の影響を受けます。
これらのバージョンをご利用の方は、なるべく早く インスタンスを アップグレード するようにお願いします。
製品 | 影響を受けるバージョン |
|---|---|
Confluence Data Center Confluence Server | 修正済みバージョン以外のすべてのバージョン |
必要なアクション
対応策
修正済みバージョン
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。
製品 | 修正済みバージョン |
|---|---|
Confluence Data Center Confluence Server |
|
Confluence Data Center と Confluence Server の最新バージョンの詳細については、こちら のリリースノートをご覧ください。最新バージョンはダウンロードセンターからダウンロードできます。
軽減策
すぐに Confluence のバー―ジョンアップができない場合、以下の軽減策の実施をお願いします。
1.Confluence インスタンスのバックアップを取得する
インスタンスが攻撃を受け破損したときに備え、定期的にバックアップを取得してください。
本番環境バックアップ ストラテジー をご参照ください。
2.外部ネットワークからの遮断
外部のインターネットへ公開されているインスタンスの場合は、外部からのアクセスを遮断・制限するような対応をお願いします。
3.特定のエンドポイントからのアクセス拒否
Confluence インスタンス上の以下のエンドポイントへのアクセスをブロックすることで、既知の攻撃ベクトルを緩和してください。
/json/setup-restore.action
/json/setup-restore-local.action
/json/setup-restore-progress.action以下の手順で Confluence の設定ファイルの変更、もしくはネットワーク層(Confluence 前段に配置のプロキシサーバー等)で設定することで上記アクセスをブロックできます。
各ノードで、
<confluence-install-dir>/confluence/WEB-INF/web.xmlに以下のコードを加えます。(</web-app>タグの直前の最後の位置)
<security-constraint>
<web-resource-collection>
<url-pattern>/json/setup-restore.action</url-pattern>
<url-pattern>/json/setup-restore-local.action</url-pattern>
<url-pattern>/json/setup-restore-progress.action</url-pattern>
<http-method-omission>*</http-method-omission>
</web-resource-collection>
<auth-constraint />
</security-constraint>2, Confluence サービスを再起動します。
これらの緩和措置は限定的なものであり、対応策の代わりになるものではありません。
脅威を検知するには
詳しい調査については、お近くのセキュリティチームまたは専門のセキュリティフォレンジック会社にご相談ください。
ただし、CVE-2023-22518 の FAQ の What should I look for in my Confluence logs? の情報を元に、 /json/setup-restore.action と /json/setup-restore-local.action のエンドポイントから悪用された形跡があるかは確認できます。
FAQ
Atlassian 社が作成しました FAQの記事は以下をご参照ください。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ