Confluenceに群がるBotnet

Confluenceをご存じですか？
JiraやRedmineなどのタスク管理ツールを使っている人は多いと思いますが、Jiraと連携する形で利用することのできる情報共有ツールです。
検索機能が充実していて情報共有がはかどります。
そんなConfluenceなのですが、先日バグの話が出ていました。
バグのタイプはRCEです。
そうです、リモートコード実行です。
こういう感じです。

• CVE-2021-26084を悪用
  CVE-2021-26084はRCEできてしまう脆弱性です。
• 容易に感染
  感染すると、認証されていない攻撃者が新しい管理者アカウントを作成し、コマンドを実行し、最終的にはバックドアとして利用することができるようになります。
• CVE-2021-26084のPoCコード
  この脆弱性の概念実証コードはすでにGitHubで公開されています。
  このため、研究者だけでなく攻撃者もこの脆弱性を利用することは容易です。

この脆弱性は公開されてからすでに時間が経過しています。
また、この脆弱性に対応できるパッチも公開されてから時間が経過しています。
そしてこの時間の中でこれを悪用するBotnetも増加していっています。

• Kinsing
  暗号マイニングマルウェアを展開します。
• Hezb
  Linux向けCobaltStrikeビーコンとXMRigマイナーを展開します。
• Dark.IoT
  cryptominerを展開します。

これらは増加するBotnetの例の一部です。
サーバの類に影響する脅威は運用の状況によっては気が付くことが難しい場合があります。
バグが公開されると短い期間でPoCが公開されることがあります。
そしてほぼ時を同じくしてマルウェアも出てくることが多いです。
しかしそのマルウェアが広がってしまう前に、自分たちの環境でパッチを適用することはそんなに難しくないのではないかと思います。

この脆弱性に対応できるパッチを適用しましょう、とかそうことではないと思います。
もちろん個別の問題は個別に注意が必要なのですが、そうではなく、包括的に組織的に計画的に全体的に、パッチ適用をルーチン化して運用することが必要なのではないでしょうか。

参考記事（外部リンク）：Linux botnets now exploit critical Atlassian Confluence
bug
www.bleepingcomputer.com/news/security/linux-botnets-now-exploit-critical-atlassian-confluence-bug/