Ludwig表示,該漏洞最初是由安全研究員Benny Jacob于6月30日通過Atlassian的漏洞賞金計劃上報的,他們的安全團隊很快意識到這是一個關鍵問題。8月15日,針對該漏洞的補丁可用,8月25日,安全公告正式發出。
他們還向NIST和其他政府組織提交了漏洞和補丁,以便該信息得到進一步傳播。此外,Atlassian還將漏洞及補丁信息發送給了渠道合作伙伴和客戶經理,以便他們能夠及時通知客戶。
Atlassian有自己的Confluence測試實例,并在9月1日左右開始觀察到漏洞自動利用的證據。Ludwig表示,這是機器人在探測服務器并試圖通過該漏洞利用它們。
Ludwig解釋稱,“作為評估漏洞的正常流程的一部分,我們回溯了環境和基礎設施日志,并查看是否存在任何歷史漏洞。結果顯示,在我們的安全公告發布之前,并沒有任何漏洞利用現象,但從9月1日左右開始,我們確實觀察到了利用該漏洞的情況。9月3日,在確定這一漏洞利用情況屬實,并得知仍有許多人尚未打補丁后,我們更新了安全公告,稱我們已經看到了積極利用該漏洞的證據,并鼓勵人們及時修復漏洞。”
Ludwig表示,在安全公司和政府機構(如美國網絡通信公司)開始發送有關該問題的通知后,Atlassian再次向客戶發送了第二條通知。
盡管Atlassian方面做出了努力,但有數千個企業仍易受該問題的影響。安全公司Censys發現,截至9月5日,易受攻擊的Confluence實例數量仍超過8500個。
Jenkins安全事件算是Confluence漏洞遭利用的攻擊實例。據悉,Jenkins遭入侵的服務器托管著目前已不再使用的Jenkins wiki門戶,且在2019年就已棄用。目前,沒有證據表明任何Jenkins發布、產品或源代碼已受影響。入侵事件發生后,Jenkins便宣布永久下架被黑的Confluence服務器,修改了權限憑據并重置了開發人員的賬戶。
截至周三(9月8日)晚上,安全公司GreyNoise發現,盡管有關該問題的通知和新聞報道鋪天蓋地,但仍有數百家企業成為該漏洞的攻擊目標。
GreyNoise首席執行官安德魯·莫里斯(Andrew Morris)表示,GreyNoise在全球數百個數據中心運行一個大型收集器傳感器網絡,并在8月31日下午4:45就發現了第一次“機會主義利用”。而從周三開始Atlassian Confluence攻擊更是大幅上升,144臺設備已經淪陷并且數字還在不斷攀升。
這就意味著,如果Atlassian Confluence客戶上周沒有打補丁,情況就非常危急了!也許高達99.999%上周未打補丁的Confluence客戶可能都已經淪陷了,事件響應團隊未來幾周內可能有得忙了。
Bad Packets報告說,從俄羅斯的主機中檢測到了CVE-2021-26084漏洞利用活動,目標是他們的Atlassian Confluence蜜罐。在此之前,他們還曾表示已經“從來自巴西、中國、香港、尼泊爾、羅馬尼亞、俄羅斯和美國的主機上檢測到大規模掃描和利用活動,目標是容易受到遠程代碼執行的Atlassian Confluence服務器。”
Ludwig表示,在Atlassian環境中的實例中,所有攻擊都是自動化的,而且都是加密貨幣挖掘。
Morris指出,很難確定到底是誰在利用漏洞,因為威脅行為者多次將訪問商品化,利用新漏洞,然后將系統訪問權限出售給其他惡意行為者。他們可能是APT組織、網絡犯罪組織、出于經濟動機的組織、民族國家行為者,甚至是試圖建立自己的僵尸網絡的組織。所以一切很難得到定論。
但可以肯定的一點是,通常當這種事情發生時,一定會有出于經濟動機的惡意行為者伺機行動,而通常最快的貨幣化途徑就是使用加密劫持。在這種情況下,我們很難斷言惡意行為者入侵這些設備后會具體做些什么。
更新問題
Ludwig表示,該漏洞是“本地部署軟件必須永遠應對的經典挑戰”。他說,“我記得20年前,當我還在Adobe時,我們決定開始每月發布安全公告,因為這是在獲取更新方面提高一致性的一種方式。但即便是這種程度的一致性也不足以讓人們定期打補丁。坦率地說,我們很幸運,Atlassian產品沒有發布很多安全建議。此次漏洞可能需要數月甚至一年的時間才會消失。它們相對不常見,但這也使得確保人們快速更新變得更具挑戰性,因為它們在實踐中與其他一些企業產品不同。”
他補充說,那些擁有面向互聯網的服務,并且無法在24-48小時內更新的用戶應該考慮遷移到云端。
Ludwig解釋稱,“您必須要考慮到這個層面,您的安全性不是建立在無法滿足當下期望(更新速度)的進程上的。現在,我認為我們永遠無法從上到下地解決這樣一個問題,即很難推出軟件更新、通知所有人、讓他們采取行動并在漏洞利用開始發生之前更快地做到這一點。”
Ludwig表示,Atlassian不知道有多少組織沒有更新他們的系統,或者哪些組織可能運行了腳本,這些腳本是他們為不想更新的客戶提供的公告流程的一部分。
本周,Ludwig已經親自與客戶支持部門聯系,并指出,他們收到了很多評論和問題反饋,因為有些人在更新軟件時遇到了問題。
Ludwig稱,“總的來說,事實要比我們之前看到的安全實例的數量要低。所以看起來事情進展得很順利。對于那些試圖進行更新的人來說,它確實是有效的。而且該腳本還為人們提供了一種確保他們的環境受到保護的簡單方法。”
Ludwig補充說,他們在周五跟進了一些客戶,并向Atlassian現場團隊提供了更多信息。
他表示,“很難知道有多少客戶已經受到了影響,有多少客戶仍然處于危險之中,以及有多少客戶因為做出了有意識的決定而置身危險。我們會盡可能跟進,但我的看法是互聯網上總會有一些軟件實例已經過時并且正在被利用。總之,我們希望盡我們所能確保客戶盡快得到修補或應用他們需要的腳本。”
許多IT專家為Atlassian的回應辯護,稱通常很難讓客戶更新軟件,尤其是在假期/周末期間和之后。
ThycoticCentrify公司首席技術官(CTO)David McNeely表示,考慮到漏洞修復需要時間,而且在許多情況下為了控制停機時間需要手動執行更新或修復,所以想要用戶及時修復漏洞就變得尤為困難。
GreyNoise公司的Morris同樣為Atlassian的回應辯護,并指出這種事情“經常發生”。他說,“我認為,當這樣的事情發生時,人們很容易倉促行事并指責是Atlassian的問題才讓客戶陷入危險。這幾乎發生在全球所有軟件公司身上。但他們忘了,他們自身也有責任。一次又一次,漏洞被披露,補丁被發布,然后供應商反復呼吁用戶盡快修補漏洞,但是結果大多未能如愿。”
Morris補充道,只是此次Atlassian事件可能尤為糟糕,因為究竟多少組織受到影響很難確定,而且事發時間在勞動節(美國勞動節在9月的第一個星期一)的周末,檢測和發現入侵的難度更大。
他表示,“這是一場完美的網絡風暴,因為Confluence在互聯網上運行,這意味著它必須能夠抵御來自整個互聯網任何地方的攻擊者。它不像是深埋在某人的網絡中,默認下會更安全一點。如果您的環境中也有運行Confluence,我真的非常強烈地建議您及時修補漏洞并致電事件響應團隊。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號