Atlassian CISO Adrian Ludwig与媒体记者进行了交谈,讨论了Atlassian Confluence漏洞——CVE-2021-26084——并为公司对该问题的回应做出了辩护。
Ludwig表示,该漏洞最初是由安全研究员Benny Jacob于6月30日通过Atlassian的漏洞赏金计划上报的,他们的安全团队很快意识到这是一个关键问题。8月15日,针对该漏洞的补丁可用,8月25日,安全公告正式发出。
他们还向NIST和其他政府组织提交了漏洞和补丁,以便该信息得到进一步传播。此外,Atlassian还将漏洞及补丁信息发送给了渠道合作伙伴和客户经理,以便他们能够及时通知客户。
Atlassian有自己的Confluence测试实例,并在9月1日左右开始观察到漏洞自动利用的证据。Ludwig表示,这是机器人在探测服务器并试图通过该漏洞利用它们。
Ludwig解释称,“作为评估漏洞的正常流程的一部分,我们回溯了环境和基础设施日志,并查看是否存在任何历史漏洞。结果显示,在我们的安全公告发布之前,并没有任何漏洞利用现象,但从9月1日左右开始,我们确实观察到了利用该漏洞的情况。9月3日,在确定这一漏洞利用情况属实,并得知仍有许多人尚未打补丁后,我们更新了安全公告,称我们已经看到了积极利用该漏洞的证据,并鼓励人们及时修复漏洞。”
Ludwig表示,在安全公司和政府机构(如美国网络通信公司)开始发送有关该问题的通知后,Atlassian再次向客户发送了第二条通知。
尽管Atlassian方面做出了努力,但有数千个企业仍易受该问题的影响。安全公司Censys发现,截至9月5日,易受攻击的Confluence实例数量仍超过8500个。
Jenkins安全事件算是Confluence漏洞遭利用的攻击实例。据悉,Jenkins遭入侵的服务器托管着目前已不再使用的Jenkins wiki门户,且在2019年就已弃用。目前,没有证据表明任何Jenkins发布、产品或源代码已受影响。入侵事件发生后,Jenkins便宣布永久下架被黑的Confluence服务器,修改了权限凭据并重置了开发人员的账户。
截至周三(9月8日)晚上,安全公司GreyNoise发现,尽管有关该问题的通知和新闻报道铺天盖地,但仍有数百家企业成为该漏洞的攻击目标。
GreyNoise首席执行官安德鲁·莫里斯(Andrew Morris)表示,GreyNoise在全球数百个数据中心运行一个大型收集器传感器网络,并在8月31日下午4:45就发现了第一次“机会主义利用”。而从周三开始Atlassian Confluence攻击更是大幅上升,144台设备已经沦陷并且数字还在不断攀升。
这就意味着,如果Atlassian Confluence客户上周没有打补丁,情况就非常危急了!也许高达99.999%上周未打补丁的Confluence客户可能都已经沦陷了,事件响应团队未来几周内可能有得忙了。
Bad Packets报告说,从俄罗斯的主机中检测到了CVE-2021-26084漏洞利用活动,目标是他们的Atlassian Confluence蜜罐。在此之前,他们还曾表示已经“从来自巴西、中国、中国香港、尼泊尔、罗马尼亚、俄罗斯和美国的主机上检测到大规模扫描和利用活动,目标是容易受到远程代码执行的Atlassian Confluence服务器。”
Ludwig表示,在Atlassian环境中的实例中,所有攻击都是自动化的,而且都是加密货币挖掘。
Morris指出,很难确定到底是谁在利用漏洞,因为威胁行为者多次将访问商品化,利用新漏洞,然后将系统访问权限出售给其他恶意行为者。他们可能是APT组织、网络犯罪组织、出于经济动机的组织、民族国家行为者,甚至是试图建立自己的僵尸网络的组织。所以一切很难得到定论。
但可以肯定的一点是,通常当这种事情发生时,一定会有出于经济动机的恶意行为者伺机行动,而通常最快的货币化途径就是使用加密劫持。在这种情况下,我们很难断言恶意行为者入侵这些设备后会具体做些什么。
更新问题
Ludwig表示,该漏洞是“本地部署软件必须永远应对的经典挑战”。他说,“我记得20年前,当我还在Adobe时,我们决定开始每月发布安全公告,因为这是在获取更新方面提高一致性的一种方式。但即便是这种程度的一致性也不足以让人们定期打补丁。坦率地说,我们很幸运,Atlassian产品没有发布很多安全建议。此次漏洞可能需要数月甚至一年的时间才会消失。它们相对不常见,但这也使得确保人们快速更新变得更具挑战性,因为它们在实践中与其他一些企业产品不同。”
他补充说,那些拥有面向互联网的服务,并且无法在24-48小时内更新的用户应该考虑迁移到云端。
Ludwig解释称,“您必须要考虑到这个层面,您的安全性不是建立在无法满足当下期望(更新速度)的进程上的。现在,我认为我们永远无法从上到下地解决这样一个问题,即很难推出软件更新、通知所有人、让他们采取行动并在漏洞利用开始发生之前更快地做到这一点。”
Ludwig表示,Atlassian不知道有多少组织没有更新他们的系统,或者哪些组织可能运行了脚本,这些脚本是他们为不想更新的客户提供的公告流程的一部分。
本周,Ludwig已经亲自与客户支持部门联系,并指出,他们收到了很多评论和问题反馈,因为有些人在更新软件时遇到了问题。
Ludwig称,“总的来说,事实要比我们之前看到的安全实例的数量要低。所以看起来事情进展得很顺利。对于那些试图进行更新的人来说,它确实是有效的。而且该脚本还为人们提供了一种确保他们的环境受到保护的简单方法。”
Ludwig补充说,他们在周五跟进了一些客户,并向Atlassian现场团队提供了更多信息。
他表示,“很难知道有多少客户已经受到了影响,有多少客户仍然处于危险之中,以及有多少客户因为做出了有意识的决定而置身危险。我们会尽可能跟进,但我的看法是互联网上总会有一些软件实例已经过时并且正在被利用。总之,我们希望尽我们所能确保客户尽快得到修补或应用他们需要的脚本。”
许多IT专家为Atlassian的回应辩护,称通常很难让客户更新软件,尤其是在假期/周末期间和之后。
ThycoticCentrify公司首席技术官(CTO)David McNeely表示,考虑到漏洞修复需要时间,而且在许多情况下为了控制停机时间需要手动执行更新或修复,所以想要用户及时修复漏洞就变得尤为困难。
GreyNoise公司的Morris同样为Atlassian的回应辩护,并指出这种事情“经常发生”。他说,“我认为,当这样的事情发生时,人们很容易仓促行事并指责是Atlassian的问题才让客户陷入危险。这几乎发生在全球所有软件公司身上。但他们忘了,他们自身也有责任。一次又一次,漏洞被披露,补丁被发布,然后供应商反复呼吁用户尽快修补漏洞,但是结果大多未能如愿。”
Morris补充道,只是此次Atlassian事件可能尤为糟糕,因为究竟多少组织受到影响很难确定,而且事发时间在劳动节(美国劳动节在9月的第一个星期一)的周末,检测和发现入侵的难度更大。
他表示,“这是一场完美的网络风暴,因为Confluence在互联网上运行,这意味着它必须能够抵御来自整个互联网任何地方的攻击者。它不像是深埋在某人的网络中,默认下会更安全一点。如果您的环境中也有运行Confluence,我真的非常强烈地建议您及时修补漏洞并致电事件响应团队。”