AtlassianCISO:互联网上总会存在仍在被利用的过时软件的实例对此回应进行了辩护。Ludwig表示,安全研究员BennyJacob于6月30日通过Atlassian的漏洞赏金计划首次报告了该漏洞,他们的安全团队很快意识到这是一个关键问题。8月15日,该漏洞补丁已经发布,8月25日,官方发布了安全公告。他们还向NIST和其他政府组织提交了漏洞和补丁,以便进一步传播这些信息。此外,Atlassian还将漏洞和补丁信息发送给了渠道合作伙伴和客户经理,以便他们及时通知客户。Atlassian拥有自己的Confluence测试实例,并在9月1日左右开始观察到漏洞被自动利用的证据。Ludwig说这是机器人在探测服务器并试图通过漏洞利用它们。Ludwig解释说,“作为我们评估漏洞的正常过程的一部分,我们回顾了我们的环境和基础设施日志,并查看是否存在任何历史漏洞。结果表明在我们的安全建议之前没有任何漏洞,但我们确实是从9月1日左右开始观察到这个漏洞的利用,9月3日,在确认这个漏洞是真实存在的,并且知道还有很多人还没有打补丁的情况下,我们更新了安全公告,说我们已经看到了该漏洞被积极利用的证据,并且鼓励人们及时修复漏洞。”Ludwig表示,在美国互联网通信公司等安全公司和政府机构开始发送有关该问题的通知后,Atlassian再次向客户发送通知。发出了第二次通知。尽管Atlassian做出了努力,但仍有成千上万的企业容易受到此问题的影响。安全公司Censys发现,截至9月5日,易受攻击的Confluence实例数量仍保持在8,500多个。Jenkins安全事件是利用Confluence漏洞进行攻击的一个例子。据报道,Jenkins受损服务器托管了现已失效的Jenkinswiki门户,该门户已于2019年弃用。目前,没有证据表明任何Jenkins版本、产品或源代码受到影响。入侵发生后,Jenkins宣布将永久移除被黑的Confluence服务器,修改权限凭证并重置开发者账户。截至周三(9月8日)晚上,安全公司GreyNoise发现数百家企业已成为该漏洞的目标,尽管有关该问题的通知和新闻报道如潮水般涌来。GreyNoise在全球数百个数据中心运行着一个大型收集传感器网络,并在下午4点45分检测到第一个“机会主义攻击”。”。从周三开始,AtlassianConfluence攻击急剧上升,144台设备被攻陷,而且这个数字还在上升。这意味着如果AtlassianConfluence客户上周没有打补丁,情况非常危急!可能高达99.999%的Confluence上周没有打补丁的客户可能已经受到威胁,事件响应团队可能在接下来的几周内很忙。BadPackets报告说,从俄罗斯的主机中检测到针对其AtlassianConfluence蜜罐的CVE-2021-26084漏洞攻击活动此前,他们还表示,他们“检测到来自巴西、中国、香港、尼泊尔、罗马尼亚、俄罗斯和美国的主机的大规模扫描和利用活动,目标是易受远程代码执行攻击的AtlassianConfluence服务器。”Ludwig说,在Atlassian环境中的实例中,所有攻击都是自动化的,并且都涉及加密货币挖掘。莫里斯指出,这很难确定谁在实际利用该漏洞,因为威胁行为者反复将访问商品化,利用新漏洞,然后将系统访问权出售给其他恶意行为者。他们可能是APT团体、网络犯罪团体、出于经济动机的团体、民族国家行为者,甚至是试图建立自己的僵尸网络的团体。所以一切都很难下定论。但有一件事是肯定的,通常当这种情况发生时,会有出于经济动机的恶意行为者伺机而动,通常最快的货币化途径是使用加密货币劫持。在这种情况下,很难准确地说出恶意行为者在破坏这些设备后会做什么。更新问题Ludwig表示,该漏洞是“本地软件必须永远应对的经典挑战”。他说,“我记得20年前,当我在Adob??e时,我们决定开始每月发布安全公告,因为这是一种在获取更新方面更加一致的方式。但即使是这种程度的一致性也不足以让人们打补丁坦率地说,我们很幸运,Atlassian产品没有发布很多安全建议。这个错误可能需要几个月甚至一年才能消失。它们相对不常见,但这使得确保人们快速更新变得更具挑战性因为它们在实践中与其他一些企业产品不同。”他补充说,那些拥有面向互联网的服务并且无法在24-48小时内更新的人应该考虑迁移到云。今天的期望(更新速度)。现在,我认为我们永远无法自上而下地解决一个问题,即很难推出软件更新、通知所有人、让他们采取行动并在漏洞开始发生之前更快地采取行动。”Ludwig说Atlassian不知道有多少组织没有更新他们的系统,或者哪些组织可能正在运行脚本作为他们不想更新的客户的公告过程的一部分。本周,Ludwig亲自联系了客户支持,注意到他们收到了很多评论和反馈,因为有些人在更新软件时遇到问题。Ludwig说,“总的来说,事实是安全实例的数量低于我们以前看到的。所以看起来事情进展顺利。对于那些尝试更新的人来说,它确实有效。并且该脚本还为人们提供了一种确保环境受到保护的简便方法。”Ludwig补充说,他们在周五跟进了一些客户,并向Atlassian现场团队提供了更多信息。“很难知道有多少客户受到了影响,有多少人仍然处于危险之中,有多少人因为做出有意识的决定而处于危险之中,”他说。“我们会尽可能跟进,但我认为是的,总会有软件实例过时和被利用的互联网。简而言之,我们希望尽我们所能确保客户尽快获得他们需要应用的补丁或脚本。”许多IT专家为Atlassian的回应辩护,称通常很难让客户更新软件,尤其是在期间和之后假期/周末。ThycoticCentrify的首席技术官(CTO)DavidMcNeely表示,考虑到修复漏洞所需的时间,并且在很多情况下需要手动更新或修复来控制停机时间,让用户及时修复漏洞尤其困难。GreyNoise的莫里斯也为Atlassian的回应辩护,指出这种事情“经常发生”。“我认为当这样的事情发生时,人们很容易匆忙指责Atlassian的问题将客户置于危险之中,”他说。“世界上几乎每家软件公司都会发生这种情况。但他们忘记了他们也有责任。......一次又一次,漏洞被披露,补丁发布,然后供应商反复敦促用户尽快修补漏洞可能,但结果大多失败。”Morris补充说,这次Atlassian事件可能特别糟糕,因为有多少组织受到影响。很难确定,而且它发生在劳动节周末(劳动节在美国九月的第一个星期一)使得检测和发现入侵更加困难。“这是一场完美的网络风暴,因为Confluence在互联网上运行,这意味着它必须能够抵御来自互联网任何地方的攻击者,”他说。“它不像深埋在某人的网络中。它更安全一点。如果你的环境中运行着Confluence,我真的非常强烈建议修补漏洞并致电事件响应团队。”
