Atlassian Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)の悪用が続いている。脆弱性を抱えたサーバの総数は減りつつあるが、それでも自動化されたサイバー攻撃によって被害を受けるサーバが出ている。該当するプロダクトを使っている場合はただちに情報を確認するとともに、最新版へアップデートすることが望まれる。

Sophosは6月16日(米国時間)、「Confluence exploits used to drop ransomware on vulnerable servers - Sophos News」において、Atlassian Confluence ServerおよびData Centerの脆弱性が依然としてサイバー攻撃に悪用されていると伝えた。脆弱性が抱えたサーバの総数は減ってきているものの、サイバー攻撃は自動化されており、こうした攻撃によってランサムウェアに感染するシステムが存在すると指摘している。

Confluence exploits used to drop ransomware on vulnerable servers - Sophos News

Atlassian Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関しては、アクティブな悪用が確認されているとして、6月2日(米国時間)にすでに米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が脆弱性カタログへの登録を行っている(参考「Atlassian Confluence Serverの脆弱性の攻撃への悪用確認、対処を | TECH+」)。

この脆弱性はしばらく悪用が続く可能性が指摘されていたが、実際に悪用が続いている。複数のセキュリティベンダーや当局がこの脆弱性の悪用を伝え、アップデートを行うよう呼びかけている(参考「Atlassian Confluence ServerとData Centerの脆弱性突くPoC登場、即更新を | TECH+」「Atlassianの緊急脆弱性、暗号資産マイナーの感染に悪用される | TECH+」)。

今回、Sophosの記事はこうしたAtlassian Confluence ServerおよびData Centerの脆弱性が、依然としてサイバー攻撃に利用されていることが示されている。こうした攻撃は自動化されており注意が必要。サーバを再起動しても/tmp/や%temp%にツールキットコンポーネントが残っている可能性があり、その場合には手動で削除する必要があるとも指摘されている。