エクスプロイト&脆弱性
Atlassian Confluenceの脆弱性「CVE-2022-26134」が暗号資産マイニングやマルウェア配布に不正使用される
トレンドマイクロでは、情報共有ツール「Atlassian Confluence」の脆弱性「CVE-2022-26134」を突いた攻撃が活発に行われていることを確認しました。CVSS 9.8としてランク付けされた本脆弱性は、リモートからのコード実行(RCE:Remote Code Execution)を誘発するものであり、不正な暗号資産マイニングの手段として利用されています。
トレンドマイクロでは、情報共有ツール「Atlassian Confluence」の脆弱性「CVE-2022-26134」を突いた攻撃が活発に行われていることを確認しました。CVSS 9.8としてランク付けされた本脆弱性は、リモートからのコード実行(RCE:Remote Code Execution)を誘発するものであり、不正な暗号資産マイニングの手段として利用されています。本脆弱性への対処法はすでにConfluence側より告知済みであり、「Confluence Server」や「Confluence Data Center」など、影響を受けるアプリケーションの全バージョンに対する修正法が発表されています。この脆弱性が修正されないまま放置されると、インフラ上でのドメイン乗っ取り、デプロイ情報窃取ツールのインストール、リモートアクセストロジャン(RATs)、ランサムウェア感染をはじめとする深刻な被害に発展する恐れがあります。被害のリスクを低減するため、当該ツールを使用する企業や組織、ユーザの方は、可能な限り早期に修正版へのアップデートを行うか、修正パッチの適用を行うか、一時的な回避策を実行することを推奨します。
本脆弱性を突いた攻撃
本脆弱性を利用する攻撃者は、式言語「OGNL(Object-Graph Navigation Language)」によるスクリプトをURI(Uniform Resource Identifier)内に埋め込んだ特殊なHTTPリクエストを生成し、これを標的サーバに送信します。これにより、標的サーバでは当該の不正なコードが実行されます。
攻撃者はまず、標的のConfluenceサーバにおける脆弱性の有無を確認するため、コマンド「id」を実行させるHTTPリクエストを送りつけます。脆弱性がある場合、コマンドの実行結果をレスポンスヘッダーに含む応答データがサーバから返却されます。今回調査した事例では下図の通り、コマンド「id」の実行結果がレスポンスヘッダー「X-Cmd-Response」に格納されていました。従って、このサーバには確かに脆弱性があり、攻撃者に指定されたコマンドを実行し、指定されたレスポンスヘッダーにその結果を含めて応答データを返却したものと判断できます。
マルウェアによる処理内容の解析
今回の攻撃に使用された暗号資産マルウェアの動作を、「Trend Micro Cloud One™」の「Workload Security」が提供する各種機能によって分析した結果、機能別で下記のイベントやコンポーネントが検出されました。
・侵入検知システム(IPS:Intrusion Prevention System):本機能により「CVE-2022-26134」をはじめとするアプリケーションの脆弱性を突く攻撃が阻止された。また、毎時発生するイベントのトラフィックやペイロードのデータ、トリガー情報が検知された。下図の例は、攻撃者がOGNLのコードをHTTPのURIに埋め込むことで、標的端末内でスクリプト「ro.sh」をダウンロード、実行させたことを示す。また、当該スクリプトによって、さらに別のスクリプト「ap.sh」もダウンロードされた。
・Webレピュテーションモジュール:本機能によって不正なURLがブロックされた他、マルウェアがペイロードをダウンロードする際に接続していたコマンドコントロール(C&C)サーバのURLが検出された。
・アンチマルウェアモジュール:本機能によって、システム内での挙動がリアルタイムに監視され、脆弱性を突いた攻撃や、各種コンポーネントによるマルウェアのダウンロード処理が検知され、阻止される。下図の例では、暗号資産マイニングツール「hezb」をダウンロードするスクリプトが検知された。
・動作監視モジュール:本機能によって、Workload Securityが稼働するエンドポイントにおけるプロセス、ファイル、ネットワーク関連の動作が監視される。今回の事例では下図の通り、マルウェア「hezb」によってC&Cサーバと接続するプロセスが起動された。
シェルスクリプトの追跡
不正なペイロードが標的の端末内で起動されると、シェルスクリプト「ro.sh」と「ap.sh」がダウンロードされます。こららのシェルスクリプトは、下記に通りさまざまな処理を実行します。
1. 環境変数「PATH」に「/tmp」と「/dev/shm」を追加する。
2. データ送受信ツール「curl」がシステム内に存在しない場合、独自のcurlのバイナリファイルをC&Cサーバからダウンロードしてインストールする。
3. 他の多くの暗号資産マイニング用マルウェアと同様、「iptables」を無効化するか、ファイアウォールの動作を「許可する」に設定し、全てのルールを消去する。
4. バイナリファイル「ko」をダウンロードする。このファイルは、脆弱性「PwnKit」を突いてrootユーザへの権限昇格を行う他、以降の処理に必要なシェルスクリプト「ap.sh」をダウンロードする。
5. 追加でダウンロードした「ap.sh」は、マルウェア「hezb」をダウンロードし、競合関係にある複数の暗号資産マイニング用プロセスが存在する場合、それらを停止する。さらにクラウドサービスプロバイダのエージェントを無効化した上で、水平移動・内部活動を実行する。
a) スクリプト「ap.sh」は、起動中のプロセス一覧からマルウェア「hezb」を検索する。見つからない場合はシステムアーキテクチャ(sys.x86_64など)に合うバイナリファイルをダウンロードし、「hezb」にリネームする。さらにポート4545を使用してC&Cサーバ「106[.]251[.]252[.]226」と通信する。
b) 本スクリプトは、「/root」や「/home」配下にあるディレクトリ「.ssh」や「.bash_history」を検索し、SSHユーザのID情報や鍵情報、hosts設定を窃取する。
マルウェアはSSHによる水平移動・内部活動を行う中で、別のスクリプト「ldr.sh」を標的環境内でダウンロードします。スクリプト「ldr.sh」には、接続する暗号資産ウォレットへのアドレス情報がハードコーディングされています。ldr.shの処理内容は先に挙げたro.shやap.shとほぼ同じですが、マイニング用サーバへの接続時には異なるIPアドレスや引数を使用して同時接続を行う点で差異が見られました。
今回調査したスクリプトは、設定ファイル「/etc/ld.so.preload」の属性を「削除可能」、「書き換え可能」に変更する機能を備えていました。このファイルは、プログラム開始時に読み込むライブラリ情報を定義するために用いられますが、通常のLinuxインストール環境では存在しません。攻撃者側の視点に立つと、当該ファイルが存在し、さまざまな実行ファイルへのパス情報が記載されていることは、競合関係にある他のマルウェアや不正なライブラリが存在する可能性を示唆します。そこで今回のスクリプトは、「/etc/ld.so.preload」の属性を「削除可能」や「書き換え可能」に変更してからファイル内容を消去します。これにより、システムリソースを開放させ、当該の設定ファイルに依存していた他のマルウェアを停止させることが可能になります。
また、今回のスクリプトは、「/proc/mounts」にマウントされた全ファイルシステムをスキャンできることが確認されました。
結論
脆弱性「CVE-2022-26134」は、不正な暗号資産マイニングの手段としてサイバー犯罪者に利用されてきました。また、比較的容易に後続の攻撃に繋げることも可能です。以上を踏まえ、当該ツールのユーザは、可能な限り早期に修正版にアップデートすることを推奨します。攻撃者は不正なコードを標的のConfluenceドメインに送りつけることでアクセス権を掌握し、サーバを操作してさらに不正な活動に発展させる他、インフラそのものにも損害を与えるなど、幅広い攻撃を実行する可能性があります。本脆弱性を突く攻撃を呼び寄せるために設置したハニーポットからは、「hezb」の他にも、「Kinsing」や「Dark.IoT」といったマルウェアが検出されました。さらに、サイバー犯罪者は本脆弱性を利用して「Mirai」やWebシェル「China Chopper」といったマルウェアを展開しているという報告もあり、脆弱なサーバによって攻撃範囲がさらに拡大している実態が示されています。
今回の脆弱性「CVE-2022-26134」を突く攻撃に遭った企業や組織は多数にのぼることが判明しました。ConfluenceのWebサイトによると、当該ツールをビジネスや業務に使用する顧客の数は、75,000を上回ります。このことは、脆弱性に対処するアップデートを適用しなければ数多くの業界が攻撃のリスクに晒されることを示しています。修正版へのアップデートやパッチ適用を済ませていない企業や組織は、公式ドキュメントに記載のリスク低減策を実施することを推奨します。
トレンドマイクロのソリューション
「Trend Micro Vision One™」をご利用のお客様は、「Workload Security」の下記ルールによって、今回の脆弱性や不正なペイロードによる脅威から保護されます。
- ルール1011456:AtlassianのConfluenceおよびData Centerに関するリモートコード実行の脆弱性(CVE-2022-26134)
- ルール1008610:Apache Strutsの脆弱性を突いたObject-Graph Navigation Language(OGNL)によるHTTPリクエスト攻撃をブロック
セキュリティ対策チームや解析者は、Workload Securityが提供するテレメトリの相関分析や検知機能を用いることで、脅威に繋がる動作を監視、追跡することが可能です。以降に述べる通り、Trend Micro Vision Oneでは、より詳細なパス情報やイベント情報をリアルタイムで確認することが可能です。
Trend Micro Vision Oneは、個々のイベント情報をもとに生成したOATsデータ(観測された攻撃手段:Observed Attacked Techniques)を通して、セキュリティ上価値のある情報を対策チームや解析者に提供します。本脆弱性を突いた攻撃の可能性が疑われる場合、端末上の不審な挙動を示すヘルパーOATトリガー情報を参照し、下記OAT IDを検索することを推奨します。
- F2588 – Atlassianに関する脆弱性の不正利用
- F2358 – RMコマンドによる再帰的ファイル削除
- F2360 – PSコマンドによるプロセス探索
- F4584 – 不正なファイルのネットワーク転送を検知
- F3737 – Curlの実行
- F4868 – Wgetの実行
- F2918 – コマンド「Cat」によるファイルの閲覧
- F4986 – マルウェアの検知
- F2140 – 不正なソフトウェア
- F2681 – ユーザおよびグループ一覧の表示
- F2763 – 不正なURL
セキュリティ担当者は、Trend Micro Vision Oneが提供するWorkbenchの機能を使用することで、ワークロード全体で発生したイベント間の繋がりを明確に把握することが可能です。セキュリティ調査において価値のある重要な情報が、さまざまなフィールド別で視覚的に表示されます。セキュリティ対策チームはこうした機能を活用することで侵害を受けたアセットを把握し、パッチ処理の進行中に、それらを隔離することも可能です。また、分析担当者はVision Oneが提供する「Execution Profile」の機能を使用することで、各時間枠の中で実行された不審な動作や活動に関する情報を検索アプリケーションや脅威検知アプリケーションから取得し、確認することが可能です。
参考記事:
• 「Atlassian Confluence Vulnerability CVE-2022-26134 Abused For Cryptocurrency Mining, Other Malware」
By: Sunil Bharti
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)