Atlassian Confluenceの脆弱性修正パッチを至急適用するよう米政府が警告
Atlassianが8月末にパッチを公開したConfluenceの脆弱性を悪用する攻撃が拡大していると、米当局が警告した。米国はLabor Dayの3連休だが「週明けまで待つことはできない」と米サイバー軍は至急パッチを適用するよう呼び掛けた。
「Atlassian Confluenceの脆弱性の悪用は進行中であり、加速するとみられる。まだパッチを適用していない場合は、すぐにパッチを適用すべきだ。週明けまで待つことはできない」──米サイバー軍(USCYBERCOM)は9月3日(現地時間)、公式Twitterでこう警告した。
米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティ・インフラストラクチャー安全保障局(CISA)も同日、この脆弱性を悪用するエクスプロイトが検出されたとし、至急パッチを適用するよう促した。
この脆弱性は、豪Atlassianが8月25日にセキュリティアドバイザリを公開したConfluence ServerとData Centerに関連する「CVE-2021-26084」。この脆弱性を悪用されると、認証されていない遠隔の第三者が任意のコードを実行できる。
この脆弱性は既に悪用されている。技術情報サイトのBleeping Computerによると、まだパッチが適用されていないオンプレミスのConfluence Serverが第三者にスキャンされ、悪用されているという。同サイトは、攻撃者がConfluence Serverに暗号通貨マイナーをインストールしようとしているのを確認したという。「攻撃者はランサムウェアのペイロードを盗み出すことも可能だ。攻撃はすぐにエスカレートする可能性がある」とBleeping Computerは警告する。
米国は9月6日がLabor Day(労働者の日)で3連休だ。最近、セキュリティ防御が手薄になる連休などを狙ったサイバー攻撃が増えており、7月の独立記念日の週末には、米KaseyaのIT管理ソフトウェア「Kaseya VSA」のアップデートを悪用してランサムウェアに感染させるサプライチェーン攻撃が発生した。
CVE-2021-26084についてのアドバイザリーは本稿執筆現在英語版しかないが、JPCERT/CCが情報をまとめている。Atlassian Confluenceユーザーはこちらを参照されたい。
【更新履歴:2021年9月6日午後10時25分 日本語のアドバイザリーが公開されたので、リンク先を変更しました。】
関連記事
- 米国、対ランサムウェアで官民連携 MicrosoftやGoogle、FBIやNSAなどが参加
米連邦政府のサイバーセキュリティ諮問機関CISAがランサムウェアと戦う新イニシアチブ「Joint Cyber Defense Collaborative」(JCDC)を発表。MicrosoftやGoogleなど、20社以上の民間企業も参加する。 - ランサムウェア感染、独立記念日狙いサプライチェーン攻撃 IT管理ソフトのアップデート悪用
Kaseya VSAのアップデートを悪用したランサムウェアは、独立記念日で手薄なところを狙い撃ち。 - 流出騒ぎのTrello、運営元が声明 「初期設定は『非公開』」「意図しない情報漏えいを止めるためサポート」
プロジェクト管理ツール「Trello」経由で個人情報を含むユーザーの書き込んだ情報が一部公開されていた問題で、運営会社の豪Atlassianが「ユーザーサポートに尽力する」と公式ブログで発表した。 - Atlassian、「Jira」「Confluence」など期限なく無料提供開始 10人以下のチームに
豪Atlassianが、10人以下のチームに対するクラウドサービスの無料提供をスタート。対象となるサービスは「Jira Software」「Confluence」「Jira Service Desk」「Jira Core」。最大2GBのストレージも込みとなる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.