敵対者は、世界中の脆弱なConfluenceサーバーに対して、注目を集める攻撃を仕掛けています。Atlassianは、すべてのサポートされているConfluence(ServerおよびData Center)バージョンで検出されたRCEの欠陥に関連するセキュリティリスクについて、ユーザーに警告しています。このバグはCVE-2022-26134として追跡され、ベンダーによって最高の深刻度レベルに評価されています。2022年6月3日時点で、Atlassianの企業向けWikiに対するこの脆弱性を修正するパッチは存在しません。
CVE-2022-26134を検出する
このゼロデイエクスプロイトがシステムに重大なダメージを与えるのを防ぐために、脅威ハンティングエンジニアのチームによってリリースされた以下のSigmaルールを使用してください。 SOC Prime:
CVE-2022-26134脆弱性からのポストエクスプロイト活動による可能性のある実行(cmdline経由)
OSコマンドインジェクションのパターンの可能性(web経由)
我々のセキュリティアナリストが有用と考える2020年からのもう1つのルールキット:
OSコマンドインジェクションのパターンの可能性(web経由)
非登録ユーザーは、脅威インテリジェンスとSOCコンテンツのワンストップショップであるSearch Engine経由で利用可能なSigmaルールのコレクションを閲覧できます。「 Search Engineへの詳細検索 」ボタンを押して、検出ルーチンを次のレベルに進めてください。
より多くの可能性を引き出すもう1つのオプションは、SOC Prime Platformに登録して無料のコミュニティサブスクリプションプランを取得することです。「 SOC Prime Platformで表示 」ボタンを押すことで、25以上のSIEM、EDR、およびXDRソリューションに対応した複数のゼロデイ脆弱性の検出アルゴリズムの包括的なコレクションにアクセスできます。
SOC Prime Platformで表示 Search Engineへの詳細検索
CVE-2022-26134の説明
Confluenceの脆弱性は、直近のメモリアルデーの週末に Volexity により初めて発見されました。研究者によると、悪意のあるアクターはゼロデイのインジェクション脆弱性を利用してシステム全体にアクセスし、さらなる悪意ある行動のためにBehinder webシェルを設置しました。
パッチが欠如しているため、 Atlassianは、 管理者にConfluenceサーバーへの外部からのアクセスを禁止するよう推奨しています。現在、クラウドホストされたサーバーがこのセキュリティホールの影響を受けているデータはありません。
昨年8月、同社はもう1つの製品におけるクリティカルなバグを公開し、認証されていないユーザーがConfluenceサーバーまたはConfluenceデータセンターがインストールされたデバイス上で任意のコードを実行できることを許可しました。このインジェクションの欠陥は、 CVE-2021-26084.
として割り当てられました。SOC Primeは、次世代のSIEM、EDR、およびXDRプラットフォーム向けの検出機能を強化し、将来性とコスト効率の良いソリューションを世界中のSOC専門家に提供するために、セキュリティ分析ツールと技術のサポートを継続的に拡充しています。 私たちが提供するより良い検出を促進するための 詳細を知る
