CVE-2023-22515 検出: アクティブに悪用されている Confluence データセンター & サーバーの重大なゼロデイ脆弱性

Atlassianは最近、Confluenceソフトウェアにおける重大な権限昇格の脆弱性について、ディフェンダーに通知しました。CVE-2023-22515として特定されたこの問題は、攻撃者によって積極的に利用されているため、影響を受けるConfluenceインストールに深刻なリスクをもたらします。

CVE-2023-22515エクスプロイトを検出する

現実世界の攻撃で利用されるCVEの数が増加している中、脆弱性のエクスプロイトのプロアクティブな検出 は、トップコンテンツ要求の一つです。CVE-2023-22515攻撃のリスクが高まっているため、組織は悪意のある活動をタイムリーに特定し、考えうるセキュリティ侵害を防止するために関連する検出コンテンツが必要です。 

SOC Primeプラットフォームは、CVE-2023-22515に関連するエクスプロイト試行を特定するために、28のSIEM、EDR、XDR、データレイクソリューションと互換性のあるキュレートされたSigmaルールを提供しています。この検出は MITRE ATT&CK®フレームワークv12 にマップされ、公に向けられたアプリケーションのエクスプロイト（T1190）を対応技術として初期アクセス戦術に対応しています。

CVE-2023-22515（Confluenceデータセンターおよびサーバーの権限昇格の脆弱性）利用試行の可能性（キーワード経由）

トレンドの脆弱性検出を目的とした包括的な検出スタックを探るには、 検出を探索 以下のボタンを押してください。すべてのルールには、脅威インベスティゲーションを強化するための豊富なサイバー脅威コンテキストとCTIが付随しています。

検出を探索

さらに、破壊的攻撃で使用される最も一般的な行動とツールを検出するためのSigmaルールは、 SOC PrimeのSmoking Gunリストを利用することで、常に手元にあります。新たな脅威に対するコンテンツを動的に更新する包括的なルールコレクションに飛び込みましょう。 

CVE-2023-22515説明

Atlassianは最近、 セキュリティ通知 を発行し、新たなゼロデイ欠陥についてConfluenceデータセンターとサーバーを網羅しました。CVE-2023-22515として指定された発見されたセキュリティバグは、非常に高いCVSSスコアが10に達しており、Confluenceソフトウェアバージョン8.0.0以降に影響を及ぼします。リモート攻撃者はユーザーの操作なく、この欠陥を容易に利用することができ、リスクを助長します。 

それほど一般的ではないですが、以前には権限昇格の脆弱性がCVSSスコアでこれほど高く評価された事例がありました。Atlassianによれば、CVE-2023-22515はリモートで利用される可能性があり、通常は認証バイパスやRCEチェーンと関連している特徴ですが、それ単体の権限昇格欠陥ではないと Rapid7の調査 によれば予測されます。CVE-2023-22515はアカウントの権限を管理者まで上昇させ、対立者に感染を拡大する許可を与える可能性があります。 

脅威を緩和するために、潜在的に侵害されたユーザーはオンプレミスのインスタンスをパッチ適用されたソフトウェアバージョンにアップグレードすることが推奨されます。すぐにパッチを適用できないConfluenceインスタンスのための代替CVE-2023-22515軽減ステップとして、サイバー防御者は外部ネットワークアクセスを制限し、ソフトウェア内の/setup/*エンドポイントに対するアクセス制限を実施することをお勧めします。 

防御者はまた、脆弱性パッチのリリースが対立者に盲点を探し、使用可能なCVE-2023-22515エクスプロイトコードの生成を簡潔化させる可能性があることを考慮し、関連する対立者キャンペーンに対抗するための脅威検出とハンティング能力を強化する必要があります。依頼する SOC PrimeのThreat Detection Marketplace で新たな脅威、CVE、野生で使われる最新TTPに対する新しい検出アイデアを探索し、検出コンテンツを一元管理・展開し、Detection-as-Codeプロジェクトを安全な環境に保管します。すべてを一箇所で手元に持ちましょう。