最終更新日時: Mon, 22 Jan 2024 17:36:07 GMT
Rapid7 は今週、広く利用されているソフトウェアの、古いバージョンに存在する2つの重大な脆弱性に注目しています。Atlassianは、CVE-2023-22527(Confluence Serverにおけるテンプレートインジェクションの脆弱性、CVSSスコアは最大で10)を公開し、一方VMwareは10月20日付のvCenter ServerアドバイザリにCVE-2023-34048に関する新たなアップデートを掲載し、この脆弱性が実際に悪用されていることを指摘しました。1月21日現在、CVE-2023-22527も悪用されています。
VMwareとAtlassianのテクノロジーは、多くのエンタープライズ環境における主力製品であり、大規模なランサムウェアキャンペーンを含め、歴史的に幅広い敵対者に狙われてきました(参考ブログ1, 2, 3, 4)。Rapid7 はお客様に対し、サポート対象である固定バージョンの vCenter Server と Confluence Server が環境で使用されていることを確認し、可能な限り、これらの製品の緊急性の高いパッチの適用を促しています。
VMware vCenter Server CVE-2023-34048
CVE-2023-34048 は、VMware vCenter Server および VMware Cloud Foundation に影響する、アウトオブバウンダリ書込み(out-of-bounds write)を可能にする重大な脆弱性です。この脆弱性は、vCenter の DCERPC の実装におけるアウトオブバウンダリ書込みの欠陥に起因しており、悪用に成功した場合、リモートでコードが実行される可能性があります。この脆弱性は2023年10月に公開されたもので、固定バージョンのほかいくつかのEOS製品にも含まれていました。今週初め、VMwareはアドバイザリを更新し、CVE-2023-34048の悪用が実際に確認されたことを明らかにしています。CVE-2023-34048を修正したvCenter Serverの修正バージョンは、2023年10月から利用可能になっていました。
VMware のアドバイザリによると、vCenter Server の全バージョンに CVE-2023-34048 の脆弱性があるとされています:
まだアップデートを実施していない場合は、緊急にアップデートを実施する必要があります。パッチは、vCenter Serverの以下のサポート終了バージョンにも適用可能です:VMware は、こちらのサイトでCloud Foundation 環境に個々の製品アップデートを適用するための情報を提供しています。
詳細については、VMware のオリジナルのアドバイザリおよび FAQ を参照してください。vCenter Serverのバージョンとビルドの一覧は、こちらをご覧ください。
Atlassian Confluence サーバーおよびデータセンター CVE-2023-22527
CVE-2023-22527 は Atlassian Confluence に存在するテンプレートインジェクションの脆弱性で、脆弱なターゲット環境で悪用に成功すると、認証されていないリモートでコードが実行される可能性があります。2024 年 1 月 19 日現在、CVE-2023-22527 を標的とした悪用は確認されていませんが、1 月 22 日現在、複数の情報源からこの脆弱性の悪用が報告されていることに注意してください。
アトラシアンのアドバイザリによる影響を受けるバージョン:
Confluence Server の最新のサポートバージョン (2024 年 1 月 16 日現在) は影響を受けません。Confluence Server の固定バージョンは 8.5.4 と 8.5.5 で、どちらも長期サポート中です。Confluence Data Center については、固定バージョンは 8.6.0、8.7.1、8.7.2 で、これらはすべて Confluence Data Center にのみ適用されます。
Atlassian Confluence をご利用のお客様には、製品のバージョンストリームで最新のバージョンにアップデートすることを強くお勧めします。お客様は、影響を受ける製品および修正されたバージョンに関する真実の情報源として、ベンダーのアドバイザリを参照してください。
Rapid7のお客様
CVE-2023-34048の脆弱性チェックは、2023年10月27日にInsightVMおよびNexposeのお客様に提供されています。CVE-2023-22527の脆弱性チェックは、2024年1月17日にInsightVMおよびNexposeのお客様に提供されています。
更新情報
2024年1月22日1月22日現在、複数の情報源から Atlassian Confluence サーバーおよびデータセンター CVE-2023-22527 の悪用が報告されています。
※本ブログは英語版ブログ "Critical CVEs in Outdated Versions of Atlassian Confluence and VMware vCenter Server" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。