CVE-2023-46604 に関する FAQ

一般情報

Bamboo Data Center および Server は、コア サービスの一部としてサード パーティのライブラリ ActiveMQ を利用しています。Apache Active MQ は、リモート コード実行 (RCE) を可能にする脆弱性 (CVE-2023-46604) を公開しています。

このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。

私の Bamboo インスタンスは影響を受けますか?

Bamboo Server と Bamboo Data Center のすべてのバージョンがこの脆弱性影響を受けます。

アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以上のバージョン) のいずれかにパッチ適用することを推奨しています。

他のアトラシアン製品は CVE-2023-46604 の影響を受けますか?

他のアトラシアン製品 (Server、Data Center、または Cloud) は CVE-2023-46604 の影響を受けません。他の製品においてアクションを行う必要はありません。

修正版にパッチ適用すれば問題は完全に解決しますか？

最新のパッチは脆弱性 CVE (CVE-2023-46604) を修正するものですが、パッチを適用する前にお客様のインスタンス上で悪意のある行為があったかどうかを弊社が確認することはできません。

社内のセキュリティ チームと協力して、パッチ適用前にインスタンスが侵害されていないかどうかを調査することをお勧めします。

Bamboo で ActiveMQ ブローカーが果たす役割は何ですか?

Bamboo は Java Message Service として ActiveMQ を 使用します。 ActiveMQ ブローカーは、Bamboo Server とそのエージェント間の通信を管理するサービスです。

影響を受けるバージョンの Bamboo を実行しています。どうすればアップグレードするまでの間の脅威を軽減できますか?

Bamboo Data Center と Server インスタンスに直ちにパッチを適用できないお客様は、リスクを軽減するために次の手順を実行することをお勧めします。

1. Bamboo の ActiveMQ ポート (デフォルト TCP/54663、TCP/54664、TCP/54665) へのネットワーク アクセスを信頼できるソースのみに制限してください。

2. 許可されたエージェントの IP アドレスのみがこのようなポートへの接続を確立できるようにしてください。

3. Bamboo Server からの発信接続は、Bamboo Server インスタンス側では、Bamboo の日常的な活動の一部である IP アドレスと URL、例えば、https://support.atlassian.com/organization-administration/docs/ip-addresses-and-domains-for-atlassian-cloud-products

4. Bamboo インスタンスの前段にロード バランサーがある場合は、Bamboo のメインの ActiveMQ ポートに適用されているものと同じネットワーク制限がロード バランサーにも適用されているようにしてください。

注: これらの緩和措置は限定的であり、インスタンスのパッチ適用に代わるものではありません。できるだけ早くパッチ適用する必要があります。

「Bamboo ActiveMQ がリッスンしているポートを確認するにはどうしたら良いですか?」セクションで、Bamboo の ActiveMQ ポートの設定を確認する方法の詳細を確認してください。

Bamboo エージェントをアップグレードする必要がありますか？

いいえ。エージェントには脆弱なライブラリが含まれていますが、 脆弱性が悪用される だけに制限してください。エージェントは、新しい Bamboo バージョンを検出すると自動的に更新されます。

アクションを実行する必要がありますか to エージェント サーバーへのトラフィックを制限しますか?

一方 エージェントには脆弱なライブラリが含まれているものの、この脆弱性は Bamboo Server インスタンス側でのみエクスプロイト可能です。エージェント側でネットワーク制限を適用する必要はありません。エージェントがアップグレード/修正された Bamboo Server に接続するとライブラリは自動的にアップグレードされます。

Bamboo がすでに攻撃を受けているかどうかを確認することはできますか?

アトラシアンでは、お客様のインスタンスがこの脆弱性の影響を受けているかどうかを確認することはできません。社内のセキュリティ チームに連絡し、影響を受けるすべての Bamboo インスタンスに侵害の証拠がないか確認する必要があります。

侵害の証拠には以下が含まれます。

• インスタンスへのログイン アクセスの喪失

• ネットワーク アクセス ログ内の異常なアクティビティ

• 未知のプラグインがインストールされている

• 暗号化されたファイルまたは破損したデータ

• bamboo-administrators グループの予期せぬメンバー

• 予期せず新しく作成されたユーザー アカウント

証拠が見つかった場合は、インスタンスが侵害されていると想定して、自社のセキュリティ インシデント対応計画に従う必要があります。

Bamboo ActiveMQ がリッスンしているポートを識別するにはどうすればよいでしょうか。 オン?

Bamboo はデフォルトでは、TCP/54663 ポート、TCP/54664 ポート、および TCP/54665 ポートを ActiveMQ サービスに割り当てます。 これらのポートはお客様がカスタマイズできます。

インスタンスのポートは、Bamboo 設定ファイルか Bamboo Web インターフェイスのどちらかで特定できます。

• Bamboo の設定ファイル:

  • Bamboo の <bamboo-home>/bamboo.cfg.xml ファイルに移動して、bamboo.jms.broker.uri プロパティを探してください。

• Bamboo の Web インターフェイス:

  • Bamboo の Web インターフェイスに移動します。 Bamboo Administration >> General Configuration >> Bamboo JMS broker configuration >> Broker URL

さらに、Bamboo は内部要件を満たすために、追加の ActiveMQ コネクタを追加ポートで起動します。これには、以下が含まれます。

• メイン JMS コネクタ。例えば、ポート 54663

• SSL JMS コネクタ。これは、メイン コネクタ ポートに 1 を加えたもので、例えば、ポート 54664。

• エラスティック エージェント JMS コネクタ。これは、メイン コネクタ ポートに 2 を加えたもので、例えば、ポート 54665。

「影響を受けるバージョンの Bamboo を実行しています。どうすればアップグレードするまでの間の脅威を軽減できますか?」セクションを参照して、パッチをすぐに適用できない場合に緩和策を実施するための次のステップを確認してください。

私のインスタンスはインターネットに公開されていません。引き続きパッチ適用が推奨されますか?

CVE-2023-46604 の Bamboo セキュリティ勧告ページに記載されている最新のパッチを適用することは、引き続き強くお勧めします。

Bamboo インスタンスがインターネットからアクセスできない場合、エクスプロイトのリスクは減少します。

インスタンスが侵害されていました。どうすればよいですか?

すぐにインスタンスをシャットダウンして、サーバーをインターネットから切断する必要があります。

次に、社内のセキュリティ チームと連携し、エクスプロイト後の悪意のあるアクティビティを確認し、復旧オプションを決定する必要があります。

「Bamboo がすでに攻撃を受けているかどうかを確認することはできますか?」セクションを参照して、潜在的侵害の兆候に関しての詳細を確認してください。

社内にセキュリティ チームがない場合はどうしたら良いですか?

専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。