Confluence と Azure の脆弱性

リモート コード実行 (RCE) は、攻撃者がコンソールに直接アクセスできないコンピューター システムで任意のコードを実行することです。 脆弱性を悪用することで、リモートのハッカーはシステムを完全に制御できます。 これは、Confluence と Azure のセキュリティ ギャップの場合です。

たとえば、脆弱なソフトウェア バージョンのエンドポイントにアクセスできるユーザーは、認証ヘッダーを必要とせずに HTTP 要求を介して任意のコマンドを実行できます。 この要求に対する期待される応答は、401 "Unauthorized" 応答ページです。 ただし、ユーザーは「root」権限でコマンドを実行できます。 これらの脅威は、2017 年の Equifax 攻撃ですでに特定されていました。

最近発見された 45 つの脆弱性は、このタイプの攻撃における最新の開発です。Atlassian Confluence OGNL インジェクションの脆弱性と Azure Open Management Infrastructure (OMI) に影響を与える脆弱性です。 バラクーダのセキュリティ研究者は、2021 年 500 月と XNUMX 月の XNUMX 日間にわたってこれらの脆弱性を悪用しようとする攻撃を分析し、XNUMX を超える固有の攻撃者 IP から発生した攻撃スパイクを特定しました。 以下では、これらの脆弱性、最近の攻撃パターン、および組織がこれらのタイプの攻撃から保護するために使用できるソリューションについて詳しく見ていきます。

Confluence と Azure の脆弱性の詳細

1. Atlassian Confluence OGNL インジェクションの脆弱性

Atlassian Confluence OGNL インジェクションの脆弱性は、25 年 2021 月 2021 日に Atlassian によって最初に公開されました。 その後まもなく、それは National Vulnerability Database (CVE-26084-XNUMX) に追加されました。 この脆弱性により、攻撃者は Confluence テンプレート エンジンを使用して認証ヘッダーなしで「POST」リクエストを送信できます。 これにより、攻撃者はシステムへの「ルート」アクセスを取得できます。 攻撃者は、「queryString」および「linkCreation」パラメータを介して Java コードを挿入できます。

Atlassian は、「修正されたバージョンより前の Confluence Server および Data Center のすべてのバージョンがこの脆弱性の影響を受ける」と発表しました.バラクーダのセキュリティ研究者は、XNUMX 月下旬から XNUMX 月下旬までのデータを分析して、Confluence の脆弱性に対する攻撃が急増し、高い状態が続いていると判断しました。多くの Confluence ユーザーがまだソフトウェアの脆弱なバージョンを持っているためです。

2. Azure Open Management Infrastructure (OMI) の脆弱性

Azure は、2021 年 38647 月 15 日に CVE-2021-XNUMX をリリースしました。この脆弱性は、Azure オープン管理インフラストラクチャ (OMI) に影響します。 Azure OMI は、サイレント モードでプレインストールされ、クラウド環境にデプロイされるソフトウェア エージェントです。 このサイレント インストールは、システムを最新バージョンの OMI にアップグレードするまで、Azure のお客様を危険にさらすことになります。

攻撃者は、OMI トラフィックをリッスンしているポートの 1270 つ (ポート 5985/5986/XNUMX) に特別に細工した HTTPS メッセージを送信して、これらのシステムを標的にし、攻撃者にコンピューターへの初期アクセスを許可します。 攻撃者が送信したコマンドは SCXcore サービスによって実行されるため、攻撃者は脆弱性を悪用できます。 攻撃者は、OMI サーバーが信頼し、攻撃者にシステムへの「ルート」アクセスを許可する、承認ヘッダーなしでコンピューターにコマンドを発行することができます。 Microsoft はブログで次のように説明しています。

攻撃者は脆弱性を正確に標的にします

18 月中旬から Barracuda システムのデータを分析したところ、Barracuda のセキュリティ研究者は、この脆弱性を悪用しようとする攻撃者の数が急激に増加していることに気付きました。 XNUMX 月 XNUMX 日の最初の急増の後、試行された攻撃の数は減少しましたが、この急増は続き、時間の経過とともに平準化されました。

バラクーダが 45 月と 550 月の 542 日間にわたる攻撃を分析した結果、Atlassian Confluence の脆弱性を悪用しようとする XNUMX の一意の攻撃者 IP と、Azure OMI の脆弱性を悪用しようとする XNUMX の一意の攻撃者 IP が発見されました。 各 IP の背後には複数の攻撃者が存在しており、これは攻撃の数が IP の数よりも大幅に多かったことを意味します。 研究者は、クライアントのフィンガープリンティングやその他の手法を使用して、この情報を明らかにしました。

分析により、ほとんどの攻撃者の IP が示される

上のヒートマップからわかるように、ほとんどの攻撃者の IP はアラスカを含む米国にあります。 これは、ほとんどのサーバー ファームがこれらの地域にあることが原因である可能性があります。 ロシア、英国、ポーランド、インドなどの国からも攻撃が送信されています。 世界中の攻撃者がこれらの脆弱性を悪用しようと試みており、組織は Web アプリケーションを保護するために一歩先を行く必要があります。

企業は Web アプリケーションを保護する必要があります

Web アプリケーションの脆弱性が増加しているため、攻撃に対する防御がますます複雑になっています。 しかし、現在、これらの脆弱性の悪用から Web アプリケーションを保護する完全なソリューションがあります。 WAAP (Web Application and API Protection) サービスとも呼ばれる WAF/WAF-as-a-Service ソリューションは、すべての最新のセキュリティ ソリューションを単一の使いやすい製品で提供することにより、Web アプリケーションを保護するのに役立ちます。

多くの従業員がリモートで作業し、多くのアプリケーションがオンラインになっているため、WAF-as-a-Service または WAAP ソリューションの必要性はかつてないほど高まっています。 そのため、企業は、ボットの軽減、DDoS 保護、および API セキュリティを含むソリューションを確保する必要があります。

詳細は Barracuda.com をご覧ください

 

---

バラクーダネットワークスについて

バラクーダは、世界をより安全な場所にするために努力しており、すべての企業が、購入、展開、使用が簡単なクラウド対応の企業規模のセキュリティ ソリューションにアクセスできる必要があると考えています。 バラクーダは、カスタマー ジャーニーに沿って成長し適応する革新的なソリューションで、電子メール、ネットワーク、データ、およびアプリケーションを保護します。 世界中の 150.000 を超える企業がバラクーダを信頼しており、ビジネスの成長に集中することができます。 詳細については、www.barracuda.com をご覧ください。

---

 

トピックに関連する記事