Confluenceに群がるBotnet

ほぼこもセキュリティニュース By Terilogy Worx

Confluenceをご存じですか?
JiraやRedmineなどのタスク管理ツールを使っている人は多いと思いますが、Jiraと連携する形で利用することのできる情報共有ツールです。
検索機能が充実していて情報共有がはかどります。
そんなConfluenceなのですが、先日バグの話が出ていました。
バグのタイプはRCEです。
そうです、リモートコード実行です。
こういう感じです。

  • CVE-2021-26084を悪用
    CVE-2021-26084はRCEできてしまう脆弱性です。
  • 容易に感染
    感染すると、認証されていない攻撃者が新しい管理者アカウントを作成し、コマンドを実行し、最終的にはバックドアとして利用することができるようになります。
  • CVE-2021-26084のPoCコード
    この脆弱性の概念実証コードはすでにGitHubで公開されています。
    このため、研究者だけでなく攻撃者もこの脆弱性を利用することは容易です。

この脆弱性は公開されてからすでに時間が経過しています。
また、この脆弱性に対応できるパッチも公開されてから時間が経過しています。
そしてこの時間の中でこれを悪用するBotnetも増加していっています。

  • Kinsing
    暗号マイニングマルウェアを展開します。
  • Hezb
    Linux向けCobaltStrikeビーコンとXMRigマイナーを展開します。
  • Dark.IoT
    cryptominerを展開します。

これらは増加するBotnetの例の一部です。
サーバの類に影響する脅威は運用の状況によっては気が付くことが難しい場合があります。
バグが公開されると短い期間でPoCが公開されることがあります。
そしてほぼ時を同じくしてマルウェアも出てくることが多いです。
しかしそのマルウェアが広がってしまう前に、自分たちの環境でパッチを適用することはそんなに難しくないのではないかと思います。

この脆弱性に対応できるパッチを適用しましょう、とかそうことではないと思います。
もちろん個別の問題は個別に注意が必要なのですが、そうではなく、包括的に組織的に計画的に全体的に、パッチ適用をルーチン化して運用することが必要なのではないでしょうか。

参考記事(外部リンク):Linux botnets now exploit critical Atlassian Confluence
bug

www.bleepingcomputer.com/news/security/linux-botnets-now-exploit-critical-atlassian-confluence-bug/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。