本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

最新情報

2022.07.14

2022年6月分 MBSD-SOCの検知傾向トピックス

著者:MBSD-SOC

Atlassian Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)を狙った攻撃

6月は、Atlassian Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)を狙った攻撃を新たに観測しました。本脆弱性はAtlassian6/3(米国時間では6/2)に公開したもので、脆弱性の重大度は一番深刻なCriticalとなっています。本脆弱性を悪用された場合、認証されていないユーザでリモートから任意のコードを実行されてしまう恐れがあります。弊社SOCでは6/3()から攻撃を観測しています。

Atlassian_Graph.png

下図は、弊社SOCで検知した攻撃検知例です(URLエンコードはデコードして記載しています)。idコマンドを実行し、レスポンスヘッダX-Responseで結果を取得することを試みた通信となっています。

. Atlassian Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)を狙った攻撃検知例

GET /${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Response",#a))}/ HTTP/1.1
Host: xx.xx.xx.xx:443
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:91.0) Gecko/20100101 Firefox/91.0
Accept-Encoding: gzip, deflate
Accept: */*

攻撃元国の上位は以下の通りです。アメリカらの攻撃が多数を占めていました。

表. CVE-2022-26134の脆弱性を狙った攻撃の攻撃元国上位5件
1 アメリカ(70.6%)
2 ドイツ(15.9%)
3 ロシア(4.5%)
4 フランス(3.5%)
5 オランダ(1.8%)

本脆弱性の影響対象は以下の通りです。既にメーカーから対策済みのバージョンおよび回避策が公開されています。影響対象のバージョンを使用している場合は、早急に対策することをお勧めいたします。

影響対象

  • Confluence Server 1.3.0 から4.16 まで
  • Confluence Server 7.13.0 から13.6 まで
  • Confluence Server 7.14.0 から14.2 まで
  • Confluence Server 7.15.0 から15.1 まで
  • Confluence Server 7.16.0 から16.3 まで
  • Confluence Server 7.17.0 から17.3 まで
  • Confluence Server 7.18.0
  • Data Center 1.3.0 から4.16 まで
  • Data Center 7.13.0 から13.6 まで
  • Data Center 7.14.0 から14.2 まで
  • Data Center 7.15.0 から15.1 まで
  • Data Center 7.16.0 から16.3 まで
  • Data Center 7.17.0 から17.3 まで
  • Data Center 7.18.0

参考情報


F5 BIG-IPの脆弱性(CVE-2022-1388)を狙った攻撃(先月分からの続報)

5月に初観測したF5 BIG-IPの脆弱性(CVE-2022-1388)を狙った攻撃は、6月は攻撃数が約3倍増加しました。下図は、5/1から6/30までの検知数推移グラフです。特に6/9()以降に攻撃が増加しました。

F5_Graph.png

本脆弱性は、F5社が5/4()に公開したもので、iControl REST認証に脆弱性が存在し、悪用された場合は認証を回避して任意のコードを実行されてしまう恐れがあります。本製品を使用されている場合は、早急に対策済みのバージョンにアップデートすることをお勧めいたします。なお、攻撃元の国を先月と比較すると、ドイツ、インドネシアからの攻撃が増加していました。

# 5月 6月
1 アメリカ(27.0%) ドイツ(18.9%)
2 オランダ(18.1%) アメリカ(16.9%)
3 香港(10.4%) インドネシア(15.7%)
4 アルゼンチン(6.1%) ブラジル(11.1%)
5 ドイツ(5.6%) アルゼンチン(8.4%)

参考情報

マネージドサービス事業部
MBSD-SOC