Confluenceのハードコードされたパスワードが流出、Atlassianが迅速な対応を要請

Confluenceのハードコードされたパスワードが流出した。影響範囲や対処方法を説明する。

[Matt Kapko，Cybersecurity Dive]

　ドキュメント共有サービス「Confluence」を運営しているAtlassianは、7月21日（木）のセキュリティ勧告で、攻撃者がConfluenceのサポートアプリ「Confluence Server」「Confluence Data Center」おいて表面化した重大な脆弱（ぜいじゃく）性を悪用している可能性が高いと警告した。

　Confluence ServerとData Centerにおいて「Questions for Confluence」（Q＆A形式で情報を共有できるアプリ）を有効化すると、管理者がアプリのデータを「Confluence Cloud」に移行する際に使うユーザーアカウント「disabledsystemuser」が作成される。今回の脆弱性は、そのアカウントのパスワードがハードコードされているというものだ。攻撃者は、このデフォルトパスワードを使ってパッチが適用されていないサーバにアクセスできる。

　なお、影響を受けるバージョンはQuestions for Confluenceの「3.0.2」「2.7.35」「2.7.34」だ。

　Atlassianはこの脆弱性に対するパッチをリリースし、影響を受けるConfluenceシステムを実行している全ての組織に対して、アプリをアップデートしてデフォルトの「disabledsystemuser」のアカウントを無効化または削除するよう助言している。

　サイバーセキュリティとインフラセキュリティ機構は7月21日、Confluenceに影響を与える最新の脆弱性について顧客に注意を促す勧告を発表した。「攻撃者は、この脆弱性を悪用して機密情報を取得する可能性がある」と同機関は述べている。

アンインストールしていても残る脆弱性、確認方法と対処法

　Confluence ServerとData Centerの重大な脆弱性の発表は、ここ数カ月で2回目になる。Atlassianは6月上旬にセキュリティアップデートをリリースし、攻撃者が認証を必要とせずに悪用できる重大なゼロデイ脆弱性を修正した。

　8000回以上ダウンロードされているサポートアプリ「Questions for Confluence」では、管理者がアプリからConfluence Cloudにデータを移行する際に、デフォルトのユーザー名とパスワードを自動的に作成する。Atlassianによると、管理者制御のためのハードコードされたデフォルトパスワードを外部の人間が発見し、Twitterで流出させたという。

　ハードコードされたパスワードは、インストール時に「confluence-users」グループに追加されるため、デフォルトではConfluence内で制限を持たない全てのページを表示、編集できるようになる。

　デフォルトのユーザー名（disabledsystemuser）とパスワードがConfluence ServerまたはData Centerに直接追加されるため、以前にサポートアプリをインストールおよびアンインストールした組織には脆弱性が残っている。これらを手動で削除または無効にするか、Questions for Confluenceアプリの更新版をインストールして削除する必要があるという。

　Atlassianは、ユーザーのログオン時間のリストを取得して、悪用されている証拠を探すよう顧客に勧めている。「disabledsystemuser」の認証時間が見つからない場合、そのアカウントはまだ存在するが、悪用されていないという。

出典：Atlassian urges rapid response after Confluence hardcoded password leaked（Cybersecurity Dive）