Atom Silo

Confluenceはご存じですか？
Confluenceは、Webベース企業向けWikiです。

従来のWikiというと大抵はmarkdownやwiki記法での記述を行うようなものとなっています。
そのWikiによって微妙に方言などがある場合が多いため、大抵のエンジニアにとっては慣れると使いやすいのですが、逆に大抵の非エンジニアにとってはなじみにくいものといえます。

Confluenceはそのあたりに違いがありました。
編集はWordのような感じでWYSIWYGでできますので編集は容易ですし、記事へのコメント機能がありますので、打ち合わせの形式でやり取りをしなくても複数のメンバーで1つのコンテンツを効果的に更新することを進めていくことが実施しやすい機構を備えています。
そんなこともあり、Confluenceは2004年にリリースされて以来ユーザ数を伸ばし、いまでは世界で60,000を超える企業で利用されるに至っています。

そんなConfluenceのサーバ製品に脆弱性が案内されています。
CVE-2021-26084です。
この脆弱性はConfluenceのサーバのリモートコード実行に関するものです。
2021年8月25日に脆弱性の案内とパッチリリースが実施されました。
果たして、利用している各社は、タイムリーにこれを適用したのでしょうか。

Atom Silo ransomwareギャングの活動が観測されています。
彼らは、Confluenceサーバの脆弱性を悪用します。
リモートコード実行でどのような活動を行うのでしょうか。

• Confluenceサーバの脆弱性を利用し、バックドアをインストールする
• DLL side-loadingを使用し、2段階目のバックドアをインストールする
• エンドポイント保護ソリューションを妨害し、検出を回避するために使用される悪意のあるカーネルドライバーを設置する
• ランサムウェアを設置する
• 横展開する

別の活動として、Confluenceサーバの脆弱性を利用して、暗号通貨マイナーを展開しているケースも観測されています。

Confluenceのサーバ版の新規販売は2020年に終了が案内されています。
しかし、稼働済みのConfluenceサーバはたくさんあるでしょうし、それらはまだこれからも利用されていくのだと思います。

インターネットに直接接続されたソフトウェアで公開されているセキュリティの脆弱性が、比較的短時間であっても、パッチを適用しないままにしておくことがどれほど危険であるかが浮き彫りになったのではないでしょうか。
妥当な運用とは何かを今一度考える必要がありそうです。

参考記事（外部リンク）：New Atom Silo ransomware targets vulnerable Confluence
servers
www.bleepingcomputer.com/news/security/new-atom-silo-ransomware-targets-vulnerable-confluence-servers/