Ludwig表示,該漏洞最初是由安全研究員Benny Jacob于6月30日通過Atlassian的漏洞賞金計劃上報的,他們的安全團(tuán)隊很快意識到這是一個關(guān)鍵問題。8月15日,針對該漏洞的補丁可用,8月25日,安全公告正式發(fā)出。
他們還向NIST和其他政府組織提交了漏洞和補丁,以便該信息得到進(jìn)一步傳播。此外,Atlassian還將漏洞及補丁信息發(fā)送給了渠道合作伙伴和客戶經(jīng)理,以便他們能夠及時通知客戶。
Atlassian有自己的Confluence測試實例,并在9月1日左右開始觀察到漏洞自動利用的證據(jù)。Ludwig表示,這是機(jī)器人在探測服務(wù)器并試圖通過該漏洞利用它們。
Ludwig解釋稱,“作為評估漏洞的正常流程的一部分,我們回溯了環(huán)境和基礎(chǔ)設(shè)施日志,并查看是否存在任何歷史漏洞。結(jié)果顯示,在我們的安全公告發(fā)布之前,并沒有任何漏洞利用現(xiàn)象,但從9月1日左右開始,我們確實觀察到了利用該漏洞的情況。9月3日,在確定這一漏洞利用情況屬實,并得知仍有許多人尚未打補丁后,我們更新了安全公告,稱我們已經(jīng)看到了積極利用該漏洞的證據(jù),并鼓勵人們及時修復(fù)漏洞。”
Ludwig表示,在安全公司和政府機(jī)構(gòu)(如美國網(wǎng)絡(luò)通信公司)開始發(fā)送有關(guān)該問題的通知后,Atlassian再次向客戶發(fā)送了第二條通知。
盡管Atlassian方面做出了努力,但有數(shù)千個企業(yè)仍易受該問題的影響。安全公司Censys發(fā)現(xiàn),截至9月5日,易受攻擊的Confluence實例數(shù)量仍超過8500個。
Jenkins安全事件算是Confluence漏洞遭利用的攻擊實例。據(jù)悉,Jenkins遭入侵的服務(wù)器托管著目前已不再使用的Jenkins wiki門戶,且在2019年就已棄用。目前,沒有證據(jù)表明任何Jenkins發(fā)布、產(chǎn)品或源代碼已受影響。入侵事件發(fā)生后,Jenkins便宣布永久下架被黑的Confluence服務(wù)器,修改了權(quán)限憑據(jù)并重置了開發(fā)人員的賬戶。
截至周三(9月8日)晚上,安全公司GreyNoise發(fā)現(xiàn),盡管有關(guān)該問題的通知和新聞報道鋪天蓋地,但仍有數(shù)百家企業(yè)成為該漏洞的攻擊目標(biāo)。
GreyNoise首席執(zhí)行官安德魯·莫里斯(Andrew Morris)表示,GreyNoise在全球數(shù)百個數(shù)據(jù)中心運行一個大型收集器傳感器網(wǎng)絡(luò),并在8月31日下午4:45就發(fā)現(xiàn)了第一次“機(jī)會主義利用”。而從周三開始Atlassian Confluence攻擊更是大幅上升,144臺設(shè)備已經(jīng)淪陷并且數(shù)字還在不斷攀升。
這就意味著,如果Atlassian Confluence客戶上周沒有打補丁,情況就非常危急了!也許高達(dá)99.999%上周未打補丁的Confluence客戶可能都已經(jīng)淪陷了,事件響應(yīng)團(tuán)隊未來幾周內(nèi)可能有得忙了。
Bad Packets報告說,從俄羅斯的主機(jī)中檢測到了CVE-2021-26084漏洞利用活動,目標(biāo)是他們的Atlassian Confluence蜜罐。在此之前,他們還曾表示已經(jīng)“從來自巴西、中國、香港、尼泊爾、羅馬尼亞、俄羅斯和美國的主機(jī)上檢測到大規(guī)模掃描和利用活動,目標(biāo)是容易受到遠(yuǎn)程代碼執(zhí)行的Atlassian Confluence服務(wù)器。”
Ludwig表示,在Atlassian環(huán)境中的實例中,所有攻擊都是自動化的,而且都是加密貨幣挖掘。
Morris指出,很難確定到底是誰在利用漏洞,因為威脅行為者多次將訪問商品化,利用新漏洞,然后將系統(tǒng)訪問權(quán)限出售給其他惡意行為者。他們可能是APT組織、網(wǎng)絡(luò)犯罪組織、出于經(jīng)濟(jì)動機(jī)的組織、民族國家行為者,甚至是試圖建立自己的僵尸網(wǎng)絡(luò)的組織。所以一切很難得到定論。
但可以肯定的一點是,通常當(dāng)這種事情發(fā)生時,一定會有出于經(jīng)濟(jì)動機(jī)的惡意行為者伺機(jī)行動,而通常最快的貨幣化途徑就是使用加密劫持。在這種情況下,我們很難斷言惡意行為者入侵這些設(shè)備后會具體做些什么。
更新問題
Ludwig表示,該漏洞是“本地部署軟件必須永遠(yuǎn)應(yīng)對的經(jīng)典挑戰(zhàn)”。他說,“我記得20年前,當(dāng)我還在Adobe時,我們決定開始每月發(fā)布安全公告,因為這是在獲取更新方面提高一致性的一種方式。但即便是這種程度的一致性也不足以讓人們定期打補丁。坦率地說,我們很幸運,Atlassian產(chǎn)品沒有發(fā)布很多安全建議。此次漏洞可能需要數(shù)月甚至一年的時間才會消失。它們相對不常見,但這也使得確保人們快速更新變得更具挑戰(zhàn)性,因為它們在實踐中與其他一些企業(yè)產(chǎn)品不同。”
他補充說,那些擁有面向互聯(lián)網(wǎng)的服務(wù),并且無法在24-48小時內(nèi)更新的用戶應(yīng)該考慮遷移到云端。
Ludwig解釋稱,“您必須要考慮到這個層面,您的安全性不是建立在無法滿足當(dāng)下期望(更新速度)的進(jìn)程上的?,F(xiàn)在,我認(rèn)為我們永遠(yuǎn)無法從上到下地解決這樣一個問題,即很難推出軟件更新、通知所有人、讓他們采取行動并在漏洞利用開始發(fā)生之前更快地做到這一點。”
Ludwig表示,Atlassian不知道有多少組織沒有更新他們的系統(tǒng),或者哪些組織可能運行了腳本,這些腳本是他們?yōu)椴幌敫碌目蛻籼峁┑墓媪鞒痰囊徊糠帧?/div>
本周,Ludwig已經(jīng)親自與客戶支持部門聯(lián)系,并指出,他們收到了很多評論和問題反饋,因為有些人在更新軟件時遇到了問題。
Ludwig稱,“總的來說,事實要比我們之前看到的安全實例的數(shù)量要低。所以看起來事情進(jìn)展得很順利。對于那些試圖進(jìn)行更新的人來說,它確實是有效的。而且該腳本還為人們提供了一種確保他們的環(huán)境受到保護(hù)的簡單方法。”
Ludwig補充說,他們在周五跟進(jìn)了一些客戶,并向Atlassian現(xiàn)場團(tuán)隊提供了更多信息。
他表示,“很難知道有多少客戶已經(jīng)受到了影響,有多少客戶仍然處于危險之中,以及有多少客戶因為做出了有意識的決定而置身危險。我們會盡可能跟進(jìn),但我的看法是互聯(lián)網(wǎng)上總會有一些軟件實例已經(jīng)過時并且正在被利用??傊覀兿MM我們所能確??蛻舯M快得到修補或應(yīng)用他們需要的腳本。”
許多IT專家為Atlassian的回應(yīng)辯護(hù),稱通常很難讓客戶更新軟件,尤其是在假期/周末期間和之后。
ThycoticCentrify公司首席技術(shù)官(CTO)David McNeely表示,考慮到漏洞修復(fù)需要時間,而且在許多情況下為了控制停機(jī)時間需要手動執(zhí)行更新或修復(fù),所以想要用戶及時修復(fù)漏洞就變得尤為困難。
GreyNoise公司的Morris同樣為Atlassian的回應(yīng)辯護(hù),并指出這種事情“經(jīng)常發(fā)生”。他說,“我認(rèn)為,當(dāng)這樣的事情發(fā)生時,人們很容易倉促行事并指責(zé)是Atlassian的問題才讓客戶陷入危險。這幾乎發(fā)生在全球所有軟件公司身上。但他們忘了,他們自身也有責(zé)任。一次又一次,漏洞被披露,補丁被發(fā)布,然后供應(yīng)商反復(fù)呼吁用戶盡快修補漏洞,但是結(jié)果大多未能如愿。”
Morris補充道,只是此次Atlassian事件可能尤為糟糕,因為究竟多少組織受到影響很難確定,而且事發(fā)時間在勞動節(jié)(美國勞動節(jié)在9月的第一個星期一)的周末,檢測和發(fā)現(xiàn)入侵的難度更大。
他表示,“這是一場完美的網(wǎng)絡(luò)風(fēng)暴,因為Confluence在互聯(lián)網(wǎng)上運行,這意味著它必須能夠抵御來自整個互聯(lián)網(wǎng)任何地方的攻擊者。它不像是深埋在某人的網(wǎng)絡(luò)中,默認(rèn)下會更安全一點。如果您的環(huán)境中也有運行Confluence,我真的非常強(qiáng)烈地建議您及時修補漏洞并致電事件響應(yīng)團(tuán)隊。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號