CatoがAtlassian Confluence Serverのエクスプロイトからの保護を実現 (CVE-2023-22515)

Atlassianは、2023年10月4日に発表したセキュリティアドバイザリにおいて、オンプレミスのConfluence Data Centerおよび Server製品の新たな重大な脆弱性を公表しました。

本稿執筆時点では、この脆弱性にCVSSスコアは割り当てられていません。しかし、リモートから悪用が可能であり、悪用されるとサーバーへのフルアクセスが可能になることから、非常に高い（9～10）ことが予想されます。

本件へのCatoの対応  

公開されているエクスプロイトの概念実証（POC）はありませんが、Atlassianは「外部攻撃者が未知の脆弱性を悪用した可能性があるという少数の顧客からの報告により、このエクスプロイトを認識していたこと」を確認したと述べており、高い確率ですでに悪用されていると推測されます。
このセキュリティアドバイザリがリリースされた直後、Cato リサーチラボは一部の顧客における脆弱なエンドポイント(“/setup/”) の悪用の可能性を特定しましたが、ユーザーの介入を必要とせずにブロックすることに成功しました。このCVEの固有シグネチャが利用可能になる前から、URLスキャナの識別とブロックを目的とした当社のIPSシグネチャによって、この試みはブロックされていました。

公開後、Catoは脆弱性のある “/setup/” エンドポイントとのやり取りをブロックするシグネチャを展開し、世界中のCatoに接続しているすべてのユーザーとサイトに対して、検出から保護までの時間を1日と23時間、オプトイン・プロテクションを24時間以内に利用できるようにしました。

さらにCatoは、Confluenceサーバーの管理エンドポイントへのアクセスを許可された IP からのみに制限することを推奨しており、できればネットワーク内から、不可能な場合は Cato ソケット配下や、Catoクライアントを実行しているリモートユーザー、Cato によって保護されたホストからのみアクセスできるようにする必要があります。

当記事は、Cato Networksのウェブサイトでブログとして投稿された記事の抜粋です。全文はこちらで閲覧いただけます。