セキュリティ
2023年11月 セキュリティ情報(Confluence Data Center 及び Serverの脆弱性 [CVE-2023-22518]など)
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。
2023年11月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Confluence Data Center 及び Serverの脆弱性 [CVE-2023-22518])
情報公開日:2023/10/31(現地時間)
| 一次情報元(引用元) |
"ATLASSIAN Support"CVE-2023-22518 - Improper Authorization Vulnerability In Confluence Data Center and Server "ATLASSIAN Support"CVE-2023-22518 - Confluence Data Center および Server における不適切な認証の脆弱性 |
| その他、情報ソース |
"Cybersecurity and Infrastructure Security Agency" ALERT Atlassian Releases Security Advisory for Confluence Data Center and Server
"Cybersecurity Help s.r.o." Improper authorization in Atlassian Confluence Data Center and Server |
| CVE番号及び深刻度 | CVE番号:CVE-2023-22518 深刻度:CVSSスコア 10.0(CVSS: 3.0 /AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) |
| 脆弱性内容 | Atlassian 社は同社製品 Confluence Data Center 及び Confluence Server(チームのナレッジやノウハウの一元管理ができる情報共有ツール)にて見つかった深刻度が最大10.0で悪用が確認された脆弱性「CVE-2023-22518」を公開した。当該脆弱性はリモートから悪用可能で、攻撃が成立すると、管理者アカウントが作成される恐れがあります。 |
| 想定される影響 | 作成された管理者用アカウントにより、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 | 以下のバージョンより下位バージョンのConfluence Data Center および Server 7.19.16 / 8.3.4 / 8.4.4 / 8.5.3 / 8.6.1 |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 緩和策としては、インターネットや外部ネットワークからのアクセス制限やConfluence インスタンス上の特定エンドポイントへのアクセスブロックなどが挙げられている。 ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 本脆弱性を悪用して侵害された環境において、ランサムウェアを展開する攻撃が確認されている。 国内企業でも社内Wikiツール、ナレッジ管理ツールとして利用されているため、深刻度及び攻撃難易度などを加味しピックアップいたしました。 早急に一次情報元の確認や保守ベンダへの問合せを行い、最優先で対応を行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2023年10月下旬の情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2023/10/31 | BIG-IP | F5 社はBIG-IP のセキュリティアップデートを実施。悪用が確認された脆弱性「CVE-2023-46747」「CVE-2023-46748」を修正している。
"K000137353: BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747" https://my.f5.com/manage/s/article/K000137353 "K000137365: BIG-IP Configuration utility authenticated SQL injection vulnerability CVE-2023-46748" https://my.f5.com/manage/s/article/K000137365 |
| 2023/10/31 | Google Chrome | Google 社はPC 版/Android 版/iOS 版のWeb ブラウザ Google Chrome のアップデートを公開。PC 版/Android 版は脆弱性15件のセキュリティ修正を行っている。
"Stable Channel Update for Desktop [Tuesday, October 31, 2023]" https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html "Chrome for Android Update [Tuesday, October 31, 2023]" https://chromereleases.googleblog.com/2023/10/chrome-for-android-update_31.html "Chrome Stable for iOS Update [Tuesday, October 31, 2023]" https://chromereleases.googleblog.com/2023/10/chrome-stable-for-ios-update_31.html |
| 2023/11/2 | Microsoft Edge | Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。同製品固有の脆弱性「CVE-2023-36022」「CVE-2023-36029」「CVE-2023-36034」も修正されている。
"Release notes for Microsoft Edge Security Updates (November 2, 2023)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-2-2023 "Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability (CVE-2023-36022)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36022 "Microsoft Edge (Chromium-based) Spoofing Vulnerability (CVE-2023-36029)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36029 "Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability (CVE-2023-36034)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36034 |
| 2023/11/6 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。
"Android Security Bulletin--November 2023" https://source.android.com/docs/security/bulletin/2023-11-01 |
| 2023/11/7 | Google Chrome | Google 社はPC 版/PC 版(拡張安定版)/Android 版のWeb ブラウザ Google Chrome のアップデートを公開。PC 版/Android 版は脆弱性1件のセキュリティ修正を行っている。
"Stable Channel Update for Desktop [Tuesday, November 7, 2023]" https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop.html "Extended Stable Channel Update for Desktop [Tuesday, November 7, 2023]" https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_7.html "Chrome for Android Update [Wednesday, November 8, 2023]" https://chromereleases.googleblog.com/2023/11/chrome-for-android-update.html |
| 2023/11/9 | Microsoft Edge | Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。同製品固有の脆弱性「CVE-2023-36014」「CVE-2023-36024」「CVE-2023-36027」も修正されている。
"Release notes for Microsoft Edge Security Updates (November 9, 2023)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-9-2023 "Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability (CVE-2023-36014)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36014 "Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability (CVE-2023-36024)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36024 "Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability (CVE-2023-36027)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36027 |
| 2023/11/14 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性3件(第三者から情報公開された脆弱性2件含む)、第三者から情報公開された脆弱性2件についても修正されている。
"2023 年 11 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov "2023 年 11 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/11/202311-security-update/ 悪用が確認されている脆弱性 "Windows DWM Core Library Elevation of Privilege Vulnerability (CVE-2023-36033)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033 "Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability (CVE-2023-36036)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036 "Windows SmartScreen Security Feature Bypass Vulnerability (CVE-2023-36025)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025 第三者から情報公開された脆弱性 "ASP.NET Core Denial of Service Vulnerability (CVE-2023-36038)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36038 "Microsoft Office Security Feature Bypass Vulnerability (CVE-2023-36413)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36413 |
| 2023/11/14 | Adobe 社複数製品 | Adobe 社は、14製品のセキュリティUpdateを公開。悪用が確認された脆弱性は無かった。
"Adobe Product Security Incident Response Team - Latest Product Security Updates (Originally posted [11/14/2023]箇所)" https://helpx.adobe.com/security.html |
| 2023/11/14 | Google Chrome | Google 社はPC 版/PC 版(拡張安定版)/Android 版/iOS 版のWeb ブラウザ Google Chrome のアップデートを公開。PC 版/Android 版は脆弱性4件のセキュリティ修正を行っている。
"Stable Channel Update for Desktop [Tuesday, November 14, 2023]" https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_14.html "Extended Stable Channel Update for Desktop [Tuesday, November 14, 2023]" https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_14.html "Chrome for Android Update [Tuesday, November 14, 2023]" https://chromereleases.googleblog.com/2023/11/chrome-for-android-update_0123862072.html "Chrome Stable for iOS Update [Tuesday, November 14, 2023]" https://chromereleases.googleblog.com/2023/11/chrome-stable-for-ios-update.html |
| 2023/11/16 | Splunk 社複数製品 | Splunk 社は、Splunk Enterpriseを含む複数製品に関するセキュリティアドバイザリを公開。サードパーティパッケージの脆弱性に関する情報も公開されている。
"Security Advisories" https://advisory.splunk.com/advisories |
| 2023/11/16 | Microsoft Edge | Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。同製品固有の脆弱性「CVE-2023-36008」「CVE-2023-36026」も修正されている。
"Release notes for Microsoft Edge Security Updates (November 16, 2023)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-16-2023 "Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability (CVE-2023-36008)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36008 "Microsoft Edge (Chromium-based) Spoofing Vulnerability (CVE-2023-36026)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36026 |
| 2023/11/21 | Mozilla Firefox 各製品/Thunderbird | Mozilla 社はFirefox /Firefox ESR /Firefox for iOS /Thunderbird のセキュリティアップデートを公開。影響度は全て「Critical」に設定されており、Firefox for iOS 以外で存在した悪用が行えた可能性がある脆弱性も修正している。
"Mozilla Foundation Security Advisory 2023-49 Security Vulnerabilities fixed in Firefox 120" https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/ "Mozilla Foundation Security Advisory 2023-50 Security Vulnerabilities fixed in Firefox ESR 115.5.0" https://www.mozilla.org/en-US/security/advisories/mfsa2023-50/ "Mozilla Foundation Security Advisory 2023-51 Security Vulnerabilities fixed in Firefox for iOS 120" https://www.mozilla.org/en-US/security/advisories/mfsa2023-51/ "Mozilla Foundation Security Advisory 2023-52 Security Vulnerabilities fixed in Thunderbird 115.5" https://www.mozilla.org/en-US/security/advisories/mfsa2023-52/ |
| 2023/11/28 | Google Chrome | Google 社はPC 版/PC 版(拡張安定版)/Android 版のWeb ブラウザ Google Chrome のアップデートを公開。PC 版/Android 版では悪用が確認された脆弱性「CVE-2023-6345」も修正されている。
"Stable Channel Update for Desktop [Tuesday, November 28, 2023]" https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html "Extended Stable Channel Update for Desktop [Tuesday, November 28, 2023]" https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_28.html "Chrome for Android Update [Tuesday, November 28, 2023]" https://chromereleases.googleblog.com/2023/11/chrome-for-android-update_0449462503.html |
注目したインシデント
2023年10月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
| 2023/10/25 | 人材・広告 | 障害による情報漏えい | 同社サービスの応募者データ情報ダウンロード時にミドルウェア障害が発生。ダウンロード処理時に生成していたテンポラリーデータが他社のCSV出力処理の内容に混在した。 |
| 2023/10/27 | 広告/出版/各種ビジネスサービス | 不正アクセスによるデータ消失及び情報漏えいの可能性 | データベースが削除された形跡があり、同社が提供していた複数サービスが停止。なお、要配慮個人情報やクレジットカード情報等は取得・保有していないとのこと。 |
| 2023/10/30 | 保険 | 参照設定ミスによる情報漏えい | 代理店向けシステムの事務ミスにより参照範囲が適切に制限されておらず、本来アクセスできない契約者情報を参照していた可能性があった。 |
| 2023/11/2 | 報道 | 不正アクセスによる情報漏えい | 外部からサーバに対し不正アクセスが行われ、同社及び同社グループ企業の職員等、約4,300人の個人情報が漏えい。不正アクセスの原因については公開されていない。 |
| 2023/11/2 | 小売業 | ランサムウェアによる情報漏えいの可能性 | データセンター内にあるサーバが異常停止したため調査を実施。その結果、ランサムウェア攻撃によるものであること及び情報漏えいの可能性があることが判明した。 |
| 2023/11/8 | 開発 | DDoS攻撃による断続的なサービス停止 | AI等で有名な企業のサービスが停止。当該攻撃に関する声明をハクティビストが出しており、政治的発言を注目させるために行ったとコメントしている。 |
| 2023/11/8 | 証券 | メールサーバへの不正アクセスによる情報漏えいの可能性 | 問合せフォームで使用しhているメールアドレスが不正アクセスを受けた。なお、当該メールアドレスのパスワード情報がどの様に流出したかは不明。 |
| 2023/11/9 報道 | 高校生 | マルウェア感染によるデータ窃取 | 高校生がインターネット上にある情報を組み合わせマルウェアを作成。チートツールと騙り、マルウェアを対象者にインストールさせ情報を窃取した。 |
| 2023/11/15 報道 | サービス業(芸能) | ECサイトでのWebスキミング | Webスキミングでの摘発は国内初。なお、摘発された男は「ネット掲示板内で不正アクセスが流行っており、興味本位で不正プログラムを設置した」と容疑を認める供述をしている。 |
| 2023/11/16 | レジャー・アミューズメント | SNSへの個人情報投稿 | 従業員が業務で知り得た個人情報をSNSで投稿。関係者への謝罪及び当該従業員/担当役員に対する厳正な処分を行うとコメントしている。 |
| 2023/11/17 | 大学 | 個人情報の誤掲載 | レポート課題のURLと間違え、個人情報が掲載されたデータのURLを学習管理システム上で公開してしまったとのこと。 |
| 2023/11/17 | 教育 | ゼロデイ攻撃による不正アクセス及び情報漏えい | ファイル転送サービスへのゼロデイ攻撃により国内外の関係者情報が漏えい。対策としてはファイル自体の暗号化強化など運用管理方法を見直したとのこと。 |
| 2023/11/22 | 通信 | サービス提供元の提携先で発生した不正アクセスによる情報漏えい | 事象についてはサービス提供元の販売代理店経由で報告を受けて判明。約20万件の個人情報が漏えいした。 |
| 2023/11/27 | 通信 | 業務委託先マルウェア感染による情報漏えい | 関連会社(海外)及び同社の業務委託先の従業員PCがマルウェア感染。関連会社経由で社内ネットワークに不正アクセスが行われ情報が漏えい。 |
