みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

Confluence Server の脆弱性を利用した攻撃が流行っている件

結構、技術的な記事ですが、実際に検証は出来ていないので、何か気付きがあったら教えて下さい。 (ホントは時間があればやりたい!とか言いつつ、プライベートな時間を使ってまでやる気がないゆとり世代です(笑))

最近気になったこの記事

blog.alertlogic.com

私が気になったのは、まさにランサムウェア GandCrab がまた攻撃に使われたというところでした。

2019年に入ってから、日本を対象にランサムウェア GandCrab を配信するような、ばらまきメールが流行っており、トレンドマイクロをはじめとしたセキュリティベンダなどからも記事が公開されています。

blog.trendmicro.co.jp

blog.trendmicro.co.jp

1月の後半からは件名が、Satoshi Tsumabuki!だったり、Sheena Ringo だったり、芸能人の名前を使い始めたのも特徴ですね。

ところで、GandCrab って何?って方のために、少し補足します。

GandCrab 概要
  • ランサムウェア(身代金要求型マルウェア)の一種

  • 2018年1月から、確認され始め、日本では、2019年より広く確認され始める

  • 開発のスピードが非常に早く、復号ツールが出ても、翌日には修正されるレベル →バグ修正能力が高い(笑)

  • 2018年7月リリースのv4からは、WannaCry の感染拡大をもたらした、NSAのツール Eternal Blue を使い始め、SMB の脆弱性を使った感染拡大能力を身に着けた


こんなところですかね。

印象としては、2019になってから、バージョンアップの頻度が鈍化している印象で、

現在(本記事執筆時点)では2019年2月リリースのv5.2が最新?だと思っています。

さて、実はここからが本題ですが、これまでは、メールのばらまきで感染を誘導する手法でしたが、ソフトウェアの脆弱性を突く攻撃でも使われるようになってしまいました。

それが今回の Confluence Server の脆弱性(CVE-2019-3396)です。

この、Confluence Server の脆弱性については、JPCERT/CC も4月17日に注意喚起を出していました。

www.jpcert.or.jp

厳密には、Confluence Server および Confluence Data Center が対象だとのことですが、詳細は、Atlassian 社の情報を参照してください。

JPCERT/CC の注意喚起にもある通り、攻撃の実証(POC)コードも公開され、国内での被害もあったとのことで、GandCrab に関わらず、注意が必要になってます。

脆弱性の概要
  • 実証コードは以下。あくまで概念の理解にご活用ください

paper.seebug.org

  • 使われている脆弱性は CVE-2019-3396 で、サニタイズの不備によるもの

  • FriendFeedRenderer クラスの getEmbeddedHtml 関数が当該箇所。_template パラメーターに任意のパスのファイルを指定すると、当該ファイルが外部から置けてしまう


つまり、ポイントは最後のところで、何でも置けちゃうんですよ!外部から!(笑)

ということで。

blog.trendmicro.com

出ちゃってますね。 DDoS ボットネット、コインマイナー。

それぞれの感染マルウェアについては、所々の記事をみていただくとよく分かると思うんですが、まぁ話題だったのと、世の中のことを知っておきたかったんで書いてみました。

誰かの役に立ってもらえると何よりです。ではでは。

みなさん、よいGW、そして、令和の始まりを。