最近、サイバーセキュリティ企業のトレンドマイクロ(Trend Micro)の脅威レポートによると、グローバルコラボレーションおよび文書化プラットフォーム「Atlassian Confluence」の深刻な脆弱性である CVE-2023-22527 を悪用したクリプトジャッキング攻撃が急増しているそうです。この脆弱性はCVSSスコア10.0に、「Critical」の危険レベルの脆弱性であり、「Confluence Data Center」と「Confluence Server」でリモートコード実行(RCE)攻撃を許可します。今回の記事では、コンフルエンスのRCE脆弱性を悪用して暗号通貨を採掘するクリプトジャッキング攻撃の方法とCTI検索エンジンを活用した脅威ハンティング方法をご紹介します。
CVE-2023-22527 の悪用事例とクリプトジャッキング攻撃の方法
トレンドマイクロのレポートによると、2024年1月16日にアトラシアンがCVE-2023-22527の脆弱性を公開した後、6月からこの脆弱性を悪用したクリプトジャッキング攻撃が急増したそうです。CVE-2023-22527の脆弱性の影響を受けるコンフルエンスのバージョンは以下の通りです。
- 8.0.x
- 8.1.x
- 8.2.x
- 8.3.x
- 8.4.x
- 8.5.0-8.5.3
ELFファイルペイロードを利用したXMRigマイニングマシンの展開方法
主要な攻撃者の1人は、ELFファイルペイロードを利用してXMRigマイニングマシンを配布する方法で攻撃を行ったことが観察されました。
シェル(SSH)スクリプトを使ったマイニング自動化の方法
別の攻撃者が流布したシェルスクリプト(Shell Script)は、セキュアシェル(Secure Shell)を通じてすべてのアクセス可能なエンドポイントに対してマイニングできるように精巧に設計されました。スクリプトは、既知の暗号通貨マイニングのプロセスと */tmp/* ディレクトリで実行されるすべてのプロセスを終了させ、すべてのCronタスクを削除し、5分ごとにコマンド&コントロール(C&C)サーバーへの接続を確認するCronタスクを追加しました。
また、攻撃者は localgo 関数を利用してIPアドレス、bash記録、SSH設定などを収集した後、SSHで他のホストで暗号通貨のマイニングを自動化しました。その後、様々な名前(whoami、nginx、apache)のcrontabタスクをあらゆる場所(init.d、cron.hourly、cron.d)に追加し、サーバーへの継続的なアクセスを維持しました。また、der関数は、Alibaba Cloud Shieldのセキュリティサービスを削除し、IPブロックを実行し、特定の条件に応じてTencent Cloudミラーを削除しました。
クラウドモニタリングおよびセキュリティサービスが終了または削除されたことを確認した後、実行中のCVE-2023-22527を悪用するシェルスクリプト(Shell Script)のプロセスを終了した後、初めて暗号通貨のマイニングを開始しました。採掘の前に、攻撃者は solr.sh に関数を使用して CVE-2023-22527 を悪用するシェルスクリプト(Shell Script)に存在しない追加的なセキュリティメカニズムを無効にし、最後にログファイルとbashログ記録を削除して侵害の痕跡まで取り除きました。
脅威インテリジェンス検索エンジンを活用した CVE-2023-22527 の脅威ハンティング
インターネットに接続された資産を検索できる脅威ハンティングツールであるCriminal IPでproductフィルターを使用すると、特定の製品が稼働しているサーバーを検索することができます。以下は、Atlassian Confluenceサーバーに対するクエリと検索結果のリンクです。
検索結果、合計1,035,877件のデータが見つかりました。2024年09月24日時点のデータです。
Search Query: product: Confluence
検出された百万台以上のコンフルエンスサーバーがすべてCVE-2023-22527の脆弱性の影響を受けるわけではありません。検出されたサーバーの中には、この脆弱性の影響を受けないバージョンも含まれています。むろん、コンフルエンスサーバーが外部に公開されていることだけでも、多数の既知の脆弱性だけでなく、未知の脆弱性によって脅かされる可能性があり、注意が必要です。
既存の「product: Comfluence」クエリにproduct_versionフィルターを追加すると、特定のバージョンのコンフルエンスサーバーだけを検索することができます。CVE-2023-22527の影響を受ける8.5.1バージョンのコンフルエンスの検索クエリは以下の通りです。
Search Query: product: Confluence product_version:8.5.1
8.5.1バージョンのコンフルエンスは合計176,055件が検索されました。検索されたサーバーの1つのIPアドレスレポートを照会した結果、9078 TCPポートを使用してコンフルエンス8.5.1バージョンが稼働していることがわかります。特に、よく知られているコンフルエンスの脆弱性であるCVE-2023-22515をすでに保有していることが判明されました。
このように、外部に公開されており、最新のパッチが適用されていないアプリケーションやデバイスは、今回のクリプトジャッキング攻撃だけでなく、企業の情報流出、システム掌握など、より深刻なサイバー攻撃の対象になる可能性があるため、最新のセキュリティパッチを迅速に適用する必要があります。また、企業や機関のセキュリティ担当者、インフラ担当者は、脆弱なオープンポートや放置された資産がないか常に点検しなければなりません。
関連してAtlassian Confluence ゼロデイ 脆弱性(CVE-2022-26134)に漏洩されたサーバーとクリプトジャッキングとは何か:その例と予防法をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
