Trend Microは9月21日、「Atlassian Confluence Vulnerability CVE-2022-26134 Abused For Cryptocurrency Mining, Other Malware」において、Atlassian Confluenceに報告された脆弱性「CVE-2022-26134」が、、暗号資産のマイニングをはじめとするサイバー攻撃に積極的に悪用されていることを確認したとして注意を促した。

CVE-2022-26134は2022年6月に公表されたリモートコード実行(RCE)の脆弱性で、攻撃者によって悪用されるとインフラの乗っ取りやトロイの木馬の混入、ランサムウェアへの感染などの被害を受ける危険性がある。

攻撃者はこの脆弱性を悪用して標的のシステム上で悪意のあるシェルスクリプト(ro.sh)を実行し、続いて2つ目のシェルスクリプト(ap.sh)を配置する。このシェルスクリプトはPATH環境変数の変更や、cURLユーティリティのインストール、iptables ファイアウォールを無効化、root権限の取得などを行い、最後に「Hezb」と呼ばれる暗号資産マイナーを展開する。競合する他の暗号資産マイナーの終了、AlibabaとTencentのクラウドサービスプロバイダーエージェントの無効化なども実施するという。

  • Atlassian Confluence Vulnerability CVE-2022-26134 Abused For Cryptocurrency Mining、Other Malware

    Atlassian Confluence Vulnerability CVE-2022-26134 Abused For Cryptocurrency Mining, Other Malware

CVE-2022-26134のCVSS v3ベーススコアは「9.8」で、深刻度は5段階中最も高い「緊急(Critical)」に分類されている。Atlassianからは、CVE-2022-26134の情報が公開された2022年6月に、すでに影響を受けるConfluence ServerおよびConfluence Data Centerのすべてのバージョンに対して修正プログラムが公開されている。現在、積極的な悪用が確認されているのは暗号資産マイナーだが、Trend Microでは、CVE-2022-26134が他の攻撃に悪用される可能性もあるとして警鐘を鳴らしている。