□ 개요

10월 31일, Atlassian은 Confluence Data Center 및 Confluence Server 소프트웨어에 영향을 미치는 심각한 보안 취약점(CVE-2023-22518)을 공개했습니다. 해당 취약점은 초기 CVSS 9.1로 평가되었지만, 랜섬웨어 공격자들에 의한 여러 가지 악용 정황들이 발견되면서 현재는 가장 높은 위험 등급인 CVSS 10으로 상향 조정되었습니다.

※ Atlassian Confluence Data Center 및 Confluence Server는 기술, 금융, 의료, 정부 및 교육을 비롯한 다양한 산업 분야의 수백만 명의 사용자가 활용하는 지식 공유, 문서 작성 및 공동 작업을 위한 인기 있는 협업 플랫폼입니다. 

□ CVE-2023-22518

CVE-2023-22518은 Atlassian Confluence Data Center 및 Server의 설정-복원 엔드포인트에 있는 인증 취약점입니다. 해당 취약점을 악용하면 인증되지 않은 공격자가 Confluence를 재설정하고 Confluence 인스턴스 관리자 계정을 생성할 수 있습니다. 이를 통해 공격자는 Confluence 인스턴스 관리자가 사용할 수 있는 모든 관리 작업을 수행할 수 있습니다. 

□ 영향받는 버전

Confluence Data Center 및 Confluence Server 의 영향받는 버전 정보는 다음 표와 같습니다.

※ Atlassian Cloud는 해당 취약점의 영향을 받지 않습니다.

□ 임시 완화 방안

패치가 불가능한 경우, 다음과 같은 임시 완화 조치를 진행할 것을 권고합니다.

완화 조치 방법

• 패치가 가능할 때까지 인터넷에서 인스턴스 제거
• 취약한 Confluence 인스턴스를 공개 액세스할 수 있도록 두면 악용에 취약, 패치를 적용할 수 있을 때까지 외부 네트워크 액세스를 제한
• Confluence 인스턴스에 대한 특정 엑세스 차단, 알려진 공격 벡터를 완화

/json/setup-restore.action

/json/setup-restore-local.action

/json/setup-restore-progress.action

□ 침해 위협 점검

• Confluence 엑세스 로그에서 /json/setup-restore* 에 대한 접근이 있는지 확인
• 의심스런 플러그인이 설치되었는지 확인, "web.shell.Plugin" 이름의 플러그인이 설치된 사례가 있음
• confluence-administrators 그룹의 계정이 생성되었거나 알 수 없는 계정이 생성되었는지 확인

□ 참고 자료

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

https://cyberint.com/blog/research/critical-confluence-vulnerability-cve-2023-22518/

https://www.tenable.com/blog/cve-2023-22518-critical-atlassian-confluence-data-center-and-server-improper-authorization

보안관제센터 MIR Team