CVE-2019-11580：Atlassian Crowdのリモートでコードが実行される重大な脆弱性に対する概念実証

Atlassian Crowdにおける重大な脆弱性の概念実証が公開されました。この脆弱性には5月22日にパッチが適用されています。

背景

7月14日、セキュリティ研究者のCorben Leoは、Atlassian Crowdの脆弱性の分析を詳述したブログを公開しました。この剤弱性には最近パッチが適用されています。Atlassian Crowdは、Active Directory（AD）、ライトウェイトディレクトリアクセスプロトコル（LDAP）、OpenLDAP、およびMicrosoft Azure ADのアクセス制御用のユーザー管理アプリケーションです。

分析

5月22日、アトラシアンはCVE-2019-11580に対処するためにCrowd Security Advisory 2019-05-22を公開しました。アドバイザリによると、CrowdとCrowd Data Centerではリリースされたバージョンでpdkinstallの開発プラグインが誤って有効にされたとのことです。この脆弱性を突くと、攻撃者は認証されていないユーザーによる要求または認証されたユーザーによる要求をCrowdまたはCrowd Data Centerインスタンスに送信し、任意のプラグインをインストールすることができます。

Leoは、pdkinstallプラグインとPdkInstallFilterサーブレットを分析し、この分析を利用して作成した概念実証（PoC）をブログで公開しています。この概念実証では、認証されたユーザーとしてAtlassian Crowdでリモートでコードを実行できることが実証されています。

画像出典：Corben Leo

概念実証

Leoのブログ記事で概念実証の一部として使用された悪質なプラグインはGitHubにも公開されています。

curl -k -H "Content-Type: multipart/mixed" \ --form "[email protected]" http://localhost:4990/crowd/admin/uploadplugin.action

ソリューション

アトラシアンは5月22日にCrowdおよびCrowd Data Centerの修正バージョンを公開しました。修正バージョンには、3.0.5, 3.1.6, 3.2.8, 3.3.5、および、3.4.4が含まれています。次の表は、脆弱性のあるバージョンと関連する修正済みのバージョンの一覧です。

修正版のAtlassian Crowdにアップグレードすることが現時点で可能でがない場合、アトラシアンのセキュリティアドバイザリで提供された緩和策を参照してください。また、セキュリティアドバイザリでは、Linuxシステムの緩和策を自動化するためのbashスクリプトも提供されています。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable プラグインのリストは、こちらからご覧いただけます。

詳細情報

• Crowd Security Advisory 2019-05-22
• Analysis of an Atlassian Crowd RCE - CVE-2019-11580

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。