Atlassian CISO Adrian Ludwig与媒体记者开展了交谈,讨论了Atlassian Confluence漏洞——CVE-2021-26084——并为企业对该问题的回复作出了辩解。
Ludwig表明,该漏洞最开始是由安全性研究者Benny Jacob于6月30日根据Atlassian的漏洞悬赏金方案汇报的,她们的安全性精英团队迅速意识到这是一个至关重要的问题。8月15日,对于该漏洞的补丁包可以用,8月25日,安全性公示宣布传出。
她们还向NIST和别的政府部门机构递交了漏洞和补丁包,便于该信息内容获得进一步散播。除此之外,Atlassian还将漏洞及补丁包信息内容发给了方式合作方和业务经理,便于它们可以立即通告顾客。
Atlassian有自身的Confluence检测案例,并在9月1日上下逐渐观查到漏洞全自动运用的直接证据。Ludwig表明,这也是智能机器人在检测网络服务器并尝试根据该漏洞运用他们。
Ludwig表述称,“做为评定漏洞的一切正常步骤的一部分,大家追踪了条件和基础设施建设系统日志,并查询是不是具有一切历史时间漏洞。数据显示,在人们的安全性公示公布以前,并没有漏洞运用状况,但从9月1日上下逐渐,大家的确观查到了运用该漏洞的状况。9月3日,在明确这一漏洞运用情况属实,并获知仍有很多人并未修复漏洞后,大家升级了安全性公示,称大家己经看到了积极主动运用该漏洞的直接证据,并激励大家立即修补漏洞。”
Ludwig表明,在安全性企业和政府部门(如英国通信网络企业)逐渐推送相关该问题的通告后,Atlassian再度向顾客上传了第二条通告。
虽然Atlassian层面进行了勤奋,但有数千个公司仍易受该问题的危害。安全性企业Censys发觉,截止到9月5日,易受攻击的Confluence案例总数仍超出8500个。
Jenkins安全事故算得上Confluence漏洞遭运用的进攻案例。据了解,Jenkins遭侵入的主机托管着现在已不会采用的Jenkins wiki门户网,且在2019年就已弃用。现阶段,沒有直接证据说明一切Jenkins公布、商品或源码已受影响。侵入情况出现后,Jenkins便公布永久性下线网站被黑的Confluence网络服务器,改动了管理权限凭证并重设了开发者的帐户。
截止到周三(9月8日)夜里,安全性企业GreyNoise发觉,虽然相关该问题的通告和新闻报导遮天盖地,但仍有数家公司变成该漏洞的进攻总体目标。
GreyNoiseCEO麦金尼斯·雷蒙德(Andrew Morris)表明,GreyNoise在全世界数千大数据中心运作一个大中型回收器无线传感器,并在8月31日中午4:45就发觉了第一次“机会主义运用”。而从周三逐渐Atlassian Confluence进攻也是大幅度升高,144台机器设备早已失陷而且数据仍在持续飙升。
这就代表着,假如Atlassian Confluence客户上星期沒有修复漏洞,状况就十分紧急了!或许达到99.999%上星期未修复漏洞的Confluence客户也许都早已沦陷了,事情回应精英团队将来几个星期内将会有得忙了。
Bad Packets汇报说,从俄国的服务器中检验到了CVE-2021-26084漏洞运用主题活动,总体目标是这些人的Atlassian Confluence蜜獾。在这之前,她们还曾表明早已“从来源于墨西哥、我国、中国香港、缅甸、罗马尼亚、俄国和国外的服务器上检验到规模性扫描仪和运用主题活动,总体目标是非常容易被远程控制执行命令的Atlassian Confluence网络服务器。”
Ludwig表明,在Atlassian自然环境中的案例中,全部伤害全是自动化技术的,并且全是数字货币发掘。
Morris强调,难以明确究竟是谁在运用漏洞,由于危害个人行为者多次将浏览商业化,运用新漏洞,随后将系统软件访问限制售卖给别的虚假个人行为者。她们可能是APT机构、网络诈骗机构、出自于经济发展动因的机构、专制制度个人行为者,乃至是尝试创建自身的僵尸网络的机构。因此一切难以获得结论。
但可以毫无疑问的一点是,通常当这样的事情产生时,一定会有出自于经济发展动因的故意个人行为者出其不意行为,而通常更快的货币化安置方式便是应用数据加密挟持。在这样的情况下,大家难以结论故意个人行为者侵入这种机器设备后会实际做些哪些。
升级问题
Ludwig表明,该漏洞是“当地布署手机软件务必始终解决的經典挑戰”。他说道,“我还记得20年以前,当我一直在Adobe时,我们决定逐渐每个月公布安全性公示,由于这也是在获得升级层面提升一致性的一种方法。但即使是这个水平的一致性也不能让大家按时修复漏洞。坦率地说,大家很好运,Atlassian商品沒有公布许多安全性提议。本次漏洞很有可能必须几个月乃至一年的时间段才会消退。他们相对性不普遍,但这也促使保证大家迅速升级越来越更具有趣味性,由于他们在日常生活中与其它一些公司产品不一样。”
他填补说,这些有着朝向互联网技术的服务项目,而且没法在24-48小時内升级的消费者应当考虑到转移到云空间。
Ludwig表述称,“您一定要充分考虑这一方面,您的安全系数并不是创建在不能满足时下期待(升级速率)的过程上的。如今,我觉得大家终究没法自上而下地处理这种一个问题,即难以发布系统更新、通告每个人、让她们付诸行动并在漏洞运用逐渐产生以前迅速地保证这一点。”
Ludwig表明,Atlassian不清楚有多少机构沒有升级她们的系统软件,或是什么机构很有可能运作了脚本制作,这种代码是这些人为不愿升级的顾客给予的公示步骤的一部分。
这周,Ludwig早已亲自与顾客适用单位联络,并强调,她们收到了许多评价和问题反馈,由于有的人在更新软件时碰到了问题。
Ludwig称,“总体来说,客观事实要比人们以前见到的安全性案例的数目要低。因此看上去事儿进度得很成功。针对这些尝试开展升级的人而言,它的确是合理的。并且该脚本制作还为大家给予了一种保证它们的自然环境遭受维护的简洁方式。”
Ludwig填补说,她们在周五跟进了一些顾客,并向Atlassian当场精英团队给予了其他信息。
他表明,“难以了解有多少顾客早已得到了危害,有多少顾客依然处在风险当中,及其有多少顾客由于作出了有目的的决策而置身于风险。大家会尽量跟进,但我的见解是网络上总是会有一些手机软件案例早已落伍而且已经被运用。总而言之,大家期待尽大家能够保证顾客尽早获得修复或运用她们要的脚本制作。”
很多IT权威专家为Atlassian的回复辩解,称通常难以让顾客更新软件,尤其是在假日/礼拜天期内和以后。
ThycoticCentrify企业首席技术官(CTO)David McNeely表明,充分考虑漏洞修补必须時间,并且在很多情形下为了更好地操纵关机時间必须手动式实行升级或修补,因此要想客户立即修补漏洞就越来越尤其艰难。
GreyNoise公司的Morris一样为Atlassian的回复辩解,并强调这样的事情“常常产生”。他说道,“我觉得,当这样的事情产生时,大家非常容易匆忙做事并斥责是Atlassian的问题才让顾客深陷风险。这几乎产生在全世界全部软件开发公司的身上。但她们忘记了,她们本身也是有义务。一次又一次,漏洞被公布,补丁包被公布,随后经销商不断号召客户尽早修复漏洞,可是結果大多数翘首以待。”
Morris填补道,仅仅本次Atlassian事情很有可能尤其槽糕,由于到底是多少机构遭受危害难以明确,并且事故发生時间在五一劳动节(美国劳动节在9月的第一个星期一)的礼拜天,检验和发觉侵入的困难更高。
他表明,“这也是一场很好的网络风暴,由于Confluence在移动互联网上运作,这代表它一定可以抵挡来源于全部互联网技术任何地方的网络攻击。它不好像埋进别人的互联网中,默认设置下能更可靠一点。假如您的条件中也有运作Confluence,我确实十分明显地建议立即修复漏洞并打电话事情回应精英团队。”