目次

Assets Discovery アプリ RCE 脆弱性 - CVE-2023-22523

脆弱性の説明

この脆弱性が悪用されると、攻撃者は Assets Discovery エージェントがインストールされたマシン上で特権 RCE (リモートコード実行) を実行することができます。この脆弱性は、Assets Discovery アプリ（旧 Insight Discovery）と Assets Discovery エージェントの間に存在します。

Atlassian Marketplace からダウンロードできる Assets Discovery アプリは、Jira Service Management Cloud、Data Center、Server のエージェントの有無にかかわらず使用できるスタンドアロンのネットワークスキャンツールです。ローカルネットワークに接続されているハードウェアとソフトウェアを検出し、各アセットに関する詳細な情報を収集します。このデータは Jira Service Management の Assets にインポートすることができ、ローカルネットワーク内のすべてのデバイスと設定項目の管理に役立ちます。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この脆弱性は Assets Discovery 3.2.0-cloud / Data Center and Server 6.2.0 より前のすべてのバージョンに影響します。Atlassian 社は最新バージョンへのバージョンアップを推奨しています。

必要なアクション

対応策

1. Assets Discovery エージェントをアンインストールする

2. Assets Discovery アプリの修正バージョンを適用する

3. Assets Discovery エージェントを再インストールする

Assets Discovery エージェントをアンインストールすることは、リスクを軽減する最も効果的な方法です。

エージェントをアンインストールしたら、Assets Discovery アプリの最新の修正済みバージョンを適用し、Assets Discovery エージェントを再インストールすることができます。

注意：現在エージェントを使用していないが、将来的に使用したいお客様は、エージェントをインストールする前に、Assets Discovery アプリの最新の修正済みバージョンを適用する必要があります。

修正済みバージョン

軽減策

お客様のデータを保護する最も効果的な方法であるため、Assets Discovery エージェントをアンインストールすることを強くお勧めします。お客様は、Assets Discovery エージェントを再度使用する前に、上記の手順をすべて実行する必要があります。

ただし、Assets Discovery エージェントをすぐにアンインストールできない場合は、エージェントとの通信に使用されるポートをブロックして対処することができます（デフォルトのポートは51337です）。この一時的な軽減策は、エージェントのアンインストールに代わるものではありません。詳細については、FAQ を参照してください。

よくある質問（FAQ)

詳しい情報はこちらでご覧になれます。CVE-2023-22523 の FAQ