□ 개요
10월 31일, Atlassian은 Confluence Data Center 및 Confluence Server 소프트웨어에 영향을 미치는 심각한 보안 취약점(CVE-2023-22518)을 공개했습니다. 해당 취약점은 초기 CVSS 9.1로 평가되었지만, 랜섬웨어 공격자들에 의한 여러 가지 악용 정황들이 발견되면서 현재는 가장 높은 위험 등급인 CVSS 10으로 상향 조정되었습니다.
※ Atlassian Confluence Data Center 및 Confluence Server는 기술, 금융, 의료, 정부 및 교육을 비롯한 다양한 산업 분야의 수백만 명의 사용자가 활용하는 지식 공유, 문서 작성 및 공동 작업을 위한 인기 있는 협업 플랫폼입니다.
□ CVE-2023-22518
CVE-2023-22518은 Atlassian Confluence Data Center 및 Server의 설정-복원 엔드포인트에 있는 인증 취약점입니다. 해당 취약점을 악용하면 인증되지 않은 공격자가 Confluence를 재설정하고 Confluence 인스턴스 관리자 계정을 생성할 수 있습니다. 이를 통해 공격자는 Confluence 인스턴스 관리자가 사용할 수 있는 모든 관리 작업을 수행할 수 있습니다.
□ 영향받는 버전
Confluence Data Center 및 Confluence Server 의 영향받는 버전 정보는 다음 표와 같습니다.
※ Atlassian Cloud는 해당 취약점의 영향을 받지 않습니다.
|
영향을 받는 버전 |
패치 버전 |
|
7.19.15 이하 |
7.19.16 이상 |
|
8.3.3 이하 |
8.3.4 이상 |
|
8.4.3 이하 |
8.4.4 이상 |
|
8.5.2 이하 |
8.5.3 이상 |
|
8.6.0 이하 |
8.6.1 이상 |
□ 임시 완화 방안
패치가 불가능한 경우, 다음과 같은 임시 완화 조치를 진행할 것을 권고합니다.
완화 조치 방법
- 패치가 가능할 때까지 인터넷에서 인스턴스 제거
- 취약한 Confluence 인스턴스를 공개 액세스할 수 있도록 두면 악용에 취약, 패치를 적용할 수 있을 때까지 외부 네트워크 액세스를 제한
- Confluence 인스턴스에 대한 특정 엑세스 차단, 알려진 공격 벡터를 완화
/json/setup-restore.action
/json/setup-restore-local.action
/json/setup-restore-progress.action
□ 침해 위협 점검
- Confluence 엑세스 로그에서 /json/setup-restore* 에 대한 접근이 있는지 확인
- 의심스런 플러그인이 설치되었는지 확인, "web.shell.Plugin" 이름의 플러그인이 설치된 사례가 있음
- confluence-administrators 그룹의 계정이 생성되었거나 알 수 없는 계정이 생성되었는지 확인
□ 참고 자료
https://cyberint.com/blog/research/critical-confluence-vulnerability-cve-2023-22518/
보안관제센터 MIR Team