이 문서는 CVE-2023-22518 취약점에 대한 조치 방법을 공유하기 위해 작성되었다.
취약점 요약표
| 요약 | CVE-2023-22518 - Confluence 데이터 센터 및 서버의 부적절한 권한 부여 취약성 |
| 권고 릴리스 날짜 | 2023년 10월 31일 화요일 00:00 ET |
| 제품 |
|
| CVE ID | CVE-2023-22518 (영문) |
| 관련 Jira 티켓 |
업데이트
"최고 정보 보안 책임자(CISO)인 Bala Sathiamurthy의 중요 메시지"를 업데이트하여 이 CVE에 대한 Atlassian의 지속적인 모니터링의 일환으로 악용 위험을 증가시키는 취약성에 대한 중요한 정보가 공개적으로 게시되는 것을 관찰했음을 명시했습니다.
취약점 요약인 CVSS 점수를 9.1에서 10으로 업데이트하고 제안된 손상 지표에 대한 위협 탐지 섹션을 추가했습니다.
19:30 ET
"패치할 수 없는 경우 임시 완화 적용"에 세 번째 옵션이 추가되었습니다.
22:30 ET
CVE ID를 NVD.gov 웹 사이트에 연결했습니다.
22:30 ET
취약점 요약
업데이트:
이 CVE에 대한 Atlassian의 지속적인 모니터링 및 조사로 랜섬웨어를 사용하는 위협에 대한 몇가지 공 및 보고를 관찰했습니다.
공격 범위 변경으로 인해 CVE-2023-22518을 CVSS 9.1에서 가장 높은 위험 등급인 10으로 상향 조정했습니다 .
업데이트:
이 CVE에 대한 Atlassian의 지속적인 모니터링의 일환으로 공격 위험이 증가하는 취약성에 대해 공개적으로 게시된 중요 정보를 관찰했습니다.
고객이 인스턴스를 보호하기 위해 즉각적인 조치를 취해야 하지만 여전히 적극적인 공격에 대한 보고는 없습니다. 패치를 이미 적용한 경우에는 추가 조치가 필요하지 않습니다.
오리지널:
최고 정보 보안 책임자(CISO)인 Bala Sathiamurthy의 중요한 메시지
지속적인 보안 평가 프로세스의 일환으로 Confluence Data Center 및 Server 고객이 인증되지 않은 공격자에 의해 악용될 경우 심각한 데이터 손실에 취약하다는 사실을 발견했습니다. 현재로서는 적극적인 착취에 대한 보고가 없습니다. 고객은 인스턴스를 보호하기 위해 즉각적인 조치를 취해야 합니다. 아래의 중요 보안 권고에서 지침 및 취약성 세부 정보를 읽어보세요.
고객의 인스턴스를 보호하는 것이 최우선 과제이며, 신속한 대응은 고객과 고객의 데이터를 안전하게 보호하기 위한 Microsoft의 노력을 보여줍니다. Atlassian은 보안 위험을 줄이고 고객이 적시에 조치를 취할 수 있도록 지원하기 위해 항상 보안 조치를 검토하고 있습니다. 고객은 필요에 따라 월간 권고 일정 외에 우선 순위가 높은 패치를 받을 수 있습니다. 우리는 선제적인 조치를 취하는 것이 최선의 접근 방식이라고 생각하며 지속적인 파트너십에 감사드립니다.
Confluence Data Center 및 Server의 모든 버전은 이 취약점의 영향을 받습니다.
이 부적절한 권한 인증 취약점을 통해 인증되지 않은 공격자가 Confluence를 재설정하고 Confluence 인스턴스 관리자 계정을 생성할 수 있습니다.
공격자는 이 계정을 사용하여 Confluence 인스턴스 관리자가 사용할 수 있는 모든 관리 작업을 수행할 수 있으며 이로 인해 기밀성, 무결성 및 가용성이 완전히 손실될 수 있습니다.
아래 나열된 Confluence Data Center 및 Server 버전은 심각한 위험에 있으며 즉각적인 주의가 필요합니다. 자세한 지침은 '해야 할 일'을 참조하세요
Atlassian Cloud 사이트는 이 취약점의 영향을 받지 않습니다. Confluence 사이트가 atlassian.net 도메인을 통해 액세스되는 경우 Atlassian에서 호스팅하므로 이 문제에 취약하지 않습니다.
심각도
Atlassian은 내부 평가에 따라 이 취약성의 심각도 수준을 심각(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H 10)으로 평가합니다.
이것은 Atlassian의 평가이며 자신의 IT 환경에 대한 적용 가능성을 평가해야 합니다.
영향을 받는 버전
이 부적절한 권한 부여 취약성은 Confluence Data Center 및 Server의 나열된 수정 버전 이전의 모든 버전에 영향을 미칩니다.
Atlassian은 고정 LTS 버전 이상으로 패치할 것을 권장합니다.
| 제품 | 영향을 받는 버전 |
|---|---|
| Confluence 데이터 센터 및 서버 | 모든 버전이 영향을 받습니다. |
필요 조치 내용
고정 버전으로 즉시 패치
Atlassian은 영향을 받는 각 설치를 아래 나열된 고정 버전(또는 최신 버전) 중 하나로 패치할 것을 권장합니다.
| 제품 | 고정 버전 |
|---|---|
| Confluence 데이터 센터 및 서버 |
|
패치할 수 없는 경우 임시 완화 적용
- 인스턴스를 백업합니다. (사용방법: https://confluence.atlassian.com/doc/production-backup-strategy-38797389.html)
- 가능한 경우 패치를 적용할 수 있을 때까지 인터넷에서 인스턴스를 제거합니다.
사용자 인증을 사용하는 인스턴스를 포함하여 공용 인터넷에 액세스할 수 있는 인스턴스는 패치를 적용할 수 있을 때까지 외부 네트워크 액세스로부터 제한되어야 합니다. - 외부 네트워크 액세스 또는 패치를 제한할 수 없는 경우
Confluence 인스턴스의 다음 엔드포인트에 대한 액세스를 차단하여 알려진 공격 벡터를 완화하기 위해 다음과 같은 임시 조치를 적용합니다./json/setup-restore.action/json/setup-restore-local.action/json/setup-restore-progress.action
1. 이 작업은 네트워크 계층에서 또는 Confluence 구성 파일을 다음과 같이 변경하여 가능합니다.
각 노드에서 다음 코드 블록(파일 끝에 있는 태그 바로 앞)을 수정하고 추가합니다./<confluence-install-dir>/confluence/WEB-INF/web.xml</web-app>
<security-constraint> <web-resource-collection> <url-pattern>/json/setup-restore.action</url-pattern> <url-pattern>/json/setup-restore-local.action</url-pattern> <url-pattern>/json/setup-restore-progress.action</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint>
2. Confluence를 다시 시작합니다.
참고: 이러한 완화 조치는 제한적이며 인스턴스 패치를 대체하지 않습니다. 가능한 한 빨리 패치해야 합니다.
위협 감지
Atlassian은 고객의 인스턴스가 이 취약점의 영향을 받았는지 확인할 수 없습니다.
고객은 사내 보안 팀과 함께 영향을 받는 모든 Confluence 인스턴스에서 손상 증거를 확인해야 합니다.
이러한 증거에는 다음이 포함될 수 있습니다.
- 인스턴스에 대한 로그인 액세스 손실
- 네트워크 액세스 로그에 대한 요청 /json/setup-restore*
- 알 수 없는 플러그인이 설치
- web.shell.Plugin 이라는 악성 플러그인에 대한 보고가 있었습니다.
- 암호화된 파일 또는 데이터의 손상
- 예기치 않은 그룹 멤버 confluence-administrators
- 예기치 않게 새로 생성된 사용자 계정
증거가 발견되면 인스턴스가 손상되었다고 가정하고 보안 사고 대응 계획을 따라야 합니다.