2022.07.14

2022年6月分 MBSD-SOCの検知傾向トピックス

監視

Atlassian Confluence ServerおよびData Centerの脆弱性（CVE-2022-26134）を狙った攻撃

6月は、Atlassian Confluence ServerおよびData Centerの脆弱性（CVE-2022-26134）を狙った攻撃を新たに観測しました。本脆弱性はAtlassianが6/3（米国時間では6/2）に公開したもので、脆弱性の重大度は一番深刻なCriticalとなっています。本脆弱性を悪用された場合、認証されていないユーザでリモートから任意のコードを実行されてしまう恐れがあります。弊社SOCでは6/3(金)から攻撃を観測しています。

下図は、弊社SOCで検知した攻撃検知例です（URLエンコードはデコードして記載しています）。idコマンドを実行し、レスポンスヘッダX-Responseで結果を取得することを試みた通信となっています。

図. Atlassian Confluence ServerおよびData Centerの脆弱性（CVE-2022-26134）を狙った攻撃検知例
GET /${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Response",#a))}/ HTTP/1.1 Host: xx.xx.xx.xx:443 User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:91.0) Gecko/20100101 Firefox/91.0 Accept-Encoding: gzip, deflate Accept: /

攻撃元国の上位は以下の通りです。アメリカらの攻撃が多数を占めていました。

表. CVE-2022-26134の脆弱性を狙った攻撃の攻撃元国上位5件
1	アメリカ（70.6%）
2	ドイツ（15.9%）
3	ロシア（4.5%）
4	フランス（3.5%）
5	オランダ（1.8%）

本脆弱性の影響対象は以下の通りです。既にメーカーから対策済みのバージョンおよび回避策が公開されています。影響対象のバージョンを使用している場合は、早急に対策することをお勧めいたします。

影響対象

Confluence Server 1.3.0 から4.16 まで
Confluence Server 7.13.0 から13.6 まで
Confluence Server 7.14.0 から14.2 まで
Confluence Server 7.15.0 から15.1 まで
Confluence Server 7.16.0 から16.3 まで
Confluence Server 7.17.0 から17.3 まで
Confluence Server 7.18.0
Data Center 1.3.0 から4.16 まで
Data Center 7.13.0 から13.6 まで
Data Center 7.14.0 から14.2 まで
Data Center 7.15.0 から15.1 まで
Data Center 7.16.0 から16.3 まで
Data Center 7.17.0 から17.3 まで
Data Center 7.18.0

参考情報

F5 BIG-IPの脆弱性（CVE-2022-1388）を狙った攻撃（先月分からの続報）

5月に初観測したF5 BIG-IPの脆弱性（CVE-2022-1388）を狙った攻撃は、6月は攻撃数が約3倍増加しました。下図は、5/1から6/30までの検知数推移グラフです。特に6/9(木)以降に攻撃が増加しました。

本脆弱性は、F5社が5/4(水)に公開したもので、iControl REST認証に脆弱性が存在し、悪用された場合は認証を回避して任意のコードを実行されてしまう恐れがあります。本製品を使用されている場合は、早急に対策済みのバージョンにアップデートすることをお勧めいたします。なお、攻撃元の国を先月と比較すると、ドイツ、インドネシアからの攻撃が増加していました。

#	5月	6月
1	アメリカ（27.0%）	ドイツ（18.9%）
2	オランダ（18.1%）	アメリカ（16.9%）
3	香港（10.4%）	インドネシア（15.7%）
4	アルゼンチン（6.1%）	ブラジル（11.1%）
5	ドイツ（5.6%）	アルゼンチン（8.4%）