CVE-2023-22527 Detection: Maximum Severity RCE Vulnerability in Atlassian’s Confluence Server and Data Center Exploited in the Wild

攻撃者は、武器化された RCEの脆弱性 を利用して、アトラシアンのConfluenceサーバーに影響を与える注目の野外攻撃を実施します。発見されたばかりのConfluenceデータセンターおよびConfluenceサーバーの新たなRCE脆弱性が、アクティブな悪用の下で観察されています。この深刻な欠陥はCVE-2023-22527として追跡され、最も高いCVSSスコア10.0を持ち、古いバージョンのアトラシアンConfluenceサーバーに影響を与えています。

CVE-2023-22527の悪用試行を検出

2023年に約30,000もの新しい脆弱性が報告され、今後数年間で増加の傾向が予測されている中、サイバーセキュリティの専門家は適時にエクスプロイトを検出し、組織のインフラをプロアクティブに防御するための革新的な解決策を必要としています。

この欠陥の深刻さと世界中の企業によるアトラシアンソリューションの大規模な採用を考慮すると、サイバー攻撃を開発の初期段階で特定するための信頼できる検出コンテンツが重要です。

可能なCVE-2023-22527（Confluenceデータセンターおよびサーバーリモートコード実行）悪用試行（ウェブサーバー経由）

上記のSOC Prime Team提供のルールは、脆弱なアプリケーションへの初期アクセスを得るために可能なCVE-2023-22527のリモートコード実行を特定するのに役立ちます。スムーズなパフォーマンスのために、このルールはすべての要求のPOSTリクエストボディデータのログ記録を必要とします。検出は13のSIEM、EDR、XDR、データレイクソリューションと互換性があり、MITRE ATT&CK v14にマッピングされ、初期アクセス戦術およびパブリックフェイシングアプリケーションのエクスプロイト（T1190）を主要技術として扱います。

新しいCVE に依存する攻撃を常に把握するために、SOC Primeの脅威検出マーケットプレイスで利用可能な関連ルールとハンティングクエリの全コレクションを詳細に調査します。 検出を探索 ボタンをクリックして、包括的な脅威コンテキストを伴う広範な検出スタックにアクセスしてください。

検出を探索

CVE-2023-22527の分析

2023年1月16日、アトラシアンConfluenceは、新たな深刻なRCE脆弱性の開示を顧客に通知するセキュリティブリテンを発行しました。 CVE-2023-22527によって追跡されるテンプレートインジェクションの脆弱性は、認証されていない攻撃者が影響を受けたソフトウェアインスタンスでRCEを有効化できるようにします。この脆弱性は、CVSSスケールで10.0と評価されており、高度に深刻な脆弱性を示し、2023年12月5日以前にリリースされた古いソフトウェアバージョンと、もはやバックポート修正を受けないバージョン8.4.5に脅威を及ぼします。 enables unauthenticated attackers to enable RCE on affected software instances. The vulnerability rated 10.0 on the CVSS scale, indicating its highly critical severity, poses a threat to outdated software versions released prior to Dec. 5, 2023, along with version 8.4.5, which is no longer receiving backported fixes.

によると Shadowserverの脅威モニタリングサービスには、すでにCVE-2023-22527を武器化した40K+の悪用試行があり、600を超える異なるIPアドレスから野外攻撃が発生しています。特に、特定されたIPアドレスの20K+以上はロシアに関連しています。

CVE-2023-22527の緩和対策に関しては、アトラシアンは回避策を提供していません。この脅威を排除するために、顧客には影響を受けた各製品を利用可能な最新バージョンにアップグレードすることを強く推奨します。Confluenceエンドポイントの最新のサポート対象バージョンはこの欠陥の影響を受けませんが、アトラシアンは顧客に最新のソフトウェアバージョンにパッチを当てて、完全に保護されていることを確認することを勧めています。

防御者は、影響を与える脅威を検出するためのベンダーに依存しない数十のルールとクエリをSOC Primeで検索することができます。 Atlassian Confluenceエンドポイントを含む既知のゼロデイとCVE。脅威調査ルーチンを支援するためにATT&CK参照と緩和策、検出にリンクされたバイナリ、およびその他の実用的なメタデータを含む関連するサイバー脅威コンテキストを探索してください。