CVE-2023-22518 検出: Atlassian Confluenceにおける新たな重大な脆弱性の悪用がCerberランサムウェアの展開を引き起こす

重大なConfluenceゼロデイが開示されてからわずか1か月後、 CVE-2023-22515と追跡された、新たな脆弱性がサイバー脅威の舞台に現れ、Atlassian製品に影響を与えています。敵対者は、すべてのバージョンのConfluence Data CenterおよびConfluence Serverで認証をバイパスできるCVE-2023-22518として知られる、最近修正された最大の重大度を持つ脆弱性に目をつけています。攻撃者はCVE-2023-22518のエクスプロイトを悪用して、ターゲットユーザーのファイルをCerberランサムウェアで暗号化します。

CVE-2023-22518のエクスプロイト試行を検出する

また別の日、新たな重大なセキュリティバグが注目されています。CVE-2023-22518が高い重大度の評価を受けており、すべてのConfluenceバージョンに影響を及ぼすことから、サイバー防衛者は、注目を浴びているセキュリティ問題に依存する野外での攻撃の津波を阻止するために、信頼できる検出コンテンツを必要としています。 

確立されたサイバー防衛のためのSOC Prime Platformは、数十のセキュリティアナリティクスプラットフォームに対応し、MITRE ATT&CK®フレームワークにマッピングされた厳選されたSigmaルールのセットを提供し、脅威調査を円滑にします。

Windows/Linux環境での可能なエクスプロイト試行を特定するために、下記の特定のコンテンツを活用してください。

可能なCVE-2023-22518（Atlassian Confluence）エクスプロイト試行 [Windows]（via process_creation）

可能なCVE-2023-22518（Atlassian Confluence）エクスプロイト試行 [Linux]（via process_creation）

可能なCVE-2023-22518（Atlassian Confluence）エクスプロイト試行（via webserver）

Confluence ServerおよびData Centerの未認証リモートコード実行脆弱性 [CVE-2022-26134] による実行の可能性（via cmdline）

特に、リストの最後のルール（CVE-2022-26134エクスプロイトの検出に専念し、2022年にリリースされたもの）は、Linux環境における行動の大きな重なりのため、CVE-2023-22518に関連する攻撃活動を特定するのに役立ちます。 

また、以下のルールは、Windowsインスタンス上のCVE-2023-26134エクスプロイトに関連する一般的な悪意のあるパターンを検出することを可能にします：

WebサーバーまたはWebアプリのエクスプロイトの可能性（via cmdline）

最近の攻撃に関連するWindowsおよびLinux環境でのポストエクスプロイト活動を調査するために、下記のSigmaルールを確認してください： 

標準ツールによるリモートファイルコピー（via cmdline）

Powershellによるダウンロードまたはアップロード（via cmdline）

新たなCVE検出を目指すSOCコンテンツの包括的なリストにアクセスするには、 Explore Detections ボタンをクリックしてください。セキュリティ専門家は、ATT&CK参照およびCTIリンクに伴った詳細なインテリジェンスを入手し、組織特有のニーズに合わせた実行可能なメタデータを取得して、脅威調査を効率化することができます。

Explore Detections

CVE-2023-22518分析

Atlassianは最近 セキュリティ通知 を発表し、CVE-2023-22518として特定された新たな不適切な認可の脆弱性に関して、防御者に警告しました。この脆弱性は、Data CenterおよびServerソフトウェアのすべてのConfluenceバージョンに影響を及ぼします。2023年11月6日、AtlassianはCVE-2023-22518の積極的なエクスプロイトと、それがランサムウェア攻撃で使用されることに関して更新しました。公開されているPoCエクスプロイトと結びついた重大なリスクの増大により、CVE-2023-22518はCVSSスケールで10に達する最も高い重大度評価を受けました。幸いにも、atlassian.netドメインを通じて接続されるAtlassian Cloudウェブサイトには影響がありません。

開示されたセキュリティバグにより、未認証の攻撃者がConfluenceをリセットし、すべての管理操作を行うための高権限アカウントを生成でき、システム全体の侵害を引き起こす可能性があります。 

Rapid7は最近、 顧客環境のセットでのCVE-2023-22518のエクスプロイト、特に脆弱なConfluenceサーバー上でのCerberランサムウェアの配備試行を観測しました。

すべてのConfluence Data CenterおよびServerバージョンに影響が見られるため、Atlassianは、脅威を軽減するために、指定されたLTSバージョンまたはそれ以降のものにパッチを直ちに適用することを推奨しています。パッチの適用に問題がある場合は、影響を受ける可能性のあるインスタンスをバックアップし、外部ネットワークアクセスと特定のConfluenceエンドポイントへのアクセスを制限して、攻撃ベクトルを減らすための暫定措置として使用することができます。  

Shodanの簡単な検索に基づくと、現在20,000を超えるConfluenceインスタンスがインターネット上に露出しているとされていますが、そのうちどれだけがCVE-2023-22518攻撃の脆弱性があるのかははっきりしません。 この数は大幅に増加しました 別のConfluence脆弱性が CVE-2022-26134 として追跡され、2022年に開示された後。

PoCの発見によるCVE-2023-22518のエクスプロイト試行のリスクの増大は、組織のインフラを守るために防御者に超迅速な対応を要求しています。SOС PrimeのThreat Detection Marketplaceは、最新の行動ベースの検出アルゴリズムへのアクセスをサイバーディフェンダーに提供し、最新のインテリジェンスで強化し、 ランサムウェア攻撃 およびあらゆる範囲の新興脅威に先手を打つための能力を提供します。