Atlassian CISO: „В интернет винаги ще има някои случаи на софтуер, които са остарели и се експлоатират“

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Atlassian CISO Адриан Лудвиг говори пред ZDNet тази седмица, за да обсъди уязвимостта на Atlassian Confluence – CVE-2021-26084 – и защитават реакцията на компанията на проблема.

Лудвиг каза, че уязвимостта първоначално е била докладвана чрез програмата за награди за грешки на Atlassian на 30 юни от Бени Джейкъб и че екипът им по сигурността бързо разбрал, че това е критичен проблем. Пластирът беше наличен до 15 август, а бюлетини за сигурност бяха изпратени на 25 август.

Те също така представиха уязвимостта и корекцията на NIST и други правителствени организации, за да може тя да бъде разпространена допълнително. Информацията беше изпратена до партньорите на канала на Atlassian и мениджърите на акаунти, за да могат да се изпращат имейли до клиентите.

Atlassian има свои собствени тестови екземпляри на Confluence и започна да вижда доказателства за автоматизирана експлоатация около 1 септември. Лудвиг каза, че ботове изследват услугите и се опитват да ги експлоатират, използвайки уязвимостта.

“Като част от нашия нормален процес за оценка на уязвимост, ние се връщаме назад през дневниците на нашата среда и нашата инфраструктура и разглеждаме дали има историческа експлоатация. В този случай не видяхме никаква експлоатация преди излизането на нашите препоръки за сигурност , но ние го видяхме да започне около 1 септември “, обясни Лудвиг.

„На 3 септември, след като потвърдихме това и също, след като чухме, че има много хора, които все още не са закърпили, пуснахме актуализация на нашите препоръки, като казахме, че сме видели доказателства за активна експлоатация и също така насърчаваме хората да поправят. “

Лудвиг каза, че Atlassian изпрати второ известие до клиентите след охранителни компании и правителствени агенции Cybercom в САЩ, започна да изпраща съобщения за проблема.

Въпреки усилията на Атласиан, хиляди организации все още бяха уязвими по въпроса. Охранителна компания Censys намерени че броят на уязвимите случаи на Confluence е над 8 500 към 5 септември.

Jenkins, водещ сървър за автоматизация с отворен код, обяви в събота, че оттеглената му услуга Confluence е успешно атакувана чрез експлоатацията на Confluence.

От сряда вечерта, охранителна компания GreyNoise установи, че стотици организации все още са били насочени поради уязвимостта въпреки известията и отразяването на новините по проблема.

Изпълнителният директор на GreyNoise Андрю Морис казах имаше голям ръст в сряда в атаките на Atlassian Confluence, с “над сто устройства опортюнистично експлоатиращи vuln и броене. Ако не сте закърпили, вие сте собственост.”

Морис каза пред ZDNet, че GreyNoise управлява голяма мрежа от колекторни сензори в стотици центрове за данни по целия свят и е видял първата опортюнистична експлоатация в 16:45 часа на 31 август.

“Видяхме, че се увеличава доста през последните няколко дни. И сега, само днес, видяхме над сто устройства, които опортюнистично се опитват да използват тази уязвимост в интернет”, каза Морис, като посочи номера на 144.

„Всичко това означава, че ако клиентите на Atlassian Confluence не са закърпили през последната седмица, за тях все още е изключително важно да го направят, но това, което е още по -важно от това, е вероятно да се обадите на екип за реакция на инциденти или екип за търсене на мрежа, защото има наистина добър шанс – бих казал примерно, 99.999% – че всички клиенти на Confluence, които не са били закърпени през последната седмица, вероятно са били компрометирани. “

Лоши пакети докладвани че експлоатационната активност на CVE-2021-26084 е била открита от хостове, базирани в Русия, насочени към техните медни съдове Атласийско сливане. По -рано те заявиха, че „откриват масово сканиране и експлоатират активност от хостове в Бразилия, Китай, Хонконг, Непал, Румъния, Русия и САЩ, насочени към сървърите на Atlassian Confluence, уязвими за отдалечено изпълнение на код“.

От случаите в обкръжението на Атласиан, Лудвиг каза, че всички атаки са автоматизирани и всички те са криптирани.

Морис отбеляза, че е трудно да се каже кой точно експлоатира уязвимостта, тъй като много пъти участниците в заплахата модернизират достъпа, експлоатират нови уязвимости и след това продават достъпа до системата на други участници.

“Те биха могли да бъдат някаква комбинация от APT, престъпни групи, финансово мотивирани групи, държавни актьори от държавата или дори хора, които доста се опитват да изградят своя ботнет. Така че не е съвсем ясно”, каза той.

“Но обикновено, когато се случват такива неща, поне част от лошите са директно финансово мотивирани и обикновено най -бързият път към монетизация е използването на криптоджекинг. В този случай нямам никакви доказателства, които да подскажат кои са лошите правят, след като компрометират тези устройства. “

Проблемът с актуализациите

Лудвиг каза пред ZDNet, че уязвимостта е „класическо предизвикателство, с което локалният софтуер е трябвало да се справя завинаги“.

„Спомням си, че преди 20 години, когато бях в Adobe, взехме решение, че ще започнем да правим месечни бюлетини за сигурност, защото това беше начин да се постигне по -голяма последователност по отношение на получаването на актуализации там“, каза Лудвиг.

“Но дори и това ниво на последователност просто не е достатъчно, за да накара хората редовно да закърпват. Имаме късмет, че продуктите на Atlassian, честно казано, нямат много препоръки за сигурност, които излизат. Може да са месеци, ако не и една година, между излизането им. Те са сравнително необичайни, но това също прави малко по -голямо предизвикателство да се уверите, че хората се актуализират бързо, защото на практика не са по същия начин, както биха могли да бъдат за някои на другите им корпоративни продукти. “

Той добави, че тези, които имат услуги за интернет и не могат да актуализират в рамките на 24-48 часа, трябва да помислят за преминаване към облака.

“Наистина трябва да помислите как да стигнете до момент, в който вашата сигурност не зависи от процеса, който просто не съответства на съвременните очаквания за това колко бързо трябва да актуализирате. В момента не мисля, че някога ще вървим архитектурно за да поправите факта, че е трудно да изтласкате актуализация на софтуера, да уведомите всички, да ги накарате да предприемат действия и да направят това по -бързо, отколкото започва експлоатацията “, обясни Лудвиг.

Лудвиг каза, че Atlassian не знае колко организации не са актуализирали системите си или кои от тях може да са изпълнили скрипт, който са предоставили като част от процеса на консултиране за клиенти, които не са искали да актуализират.

Лудвиг каза, че лично е проверил с поддръжката на клиентите тази седмица и отбеляза, че те получават коментари и въпроси, тъй като някои се сблъскват с проблеми при актуализирането на софтуера си.

“Като цяло обемът на това е по -нисък, отколкото видяхме при предишни случаи на сигурност. Така че изглежда, че нещата вървят доста добре”, каза Лудвиг. “За тези, които се опитват да направят актуализацията, изглежда, че работи. И скриптът също така предоставя лесен начин хората да се уверят, че тяхната среда е защитена.”

Лудвиг добави, че са проследили някои клиенти в петък и са предоставили допълнителна информация на екипите на Atlassian.

Той каза пред ZDNet, че е трудно да се знае колко клиенти са били засегнати, колко клиенти все още не са на сигурно място и колко клиенти „не са на сигурно място, защото са взели съзнателно решение“.

„Ще проследим, когато можем, но моето очакване е, че в интернет винаги ще има някакъв брой случаи на софтуер, който е остарял и който се експлоатира“, обясни Лудвиг.

„В крайна сметка искаме да направим всичко възможно, за да гарантираме, че клиентите ще бъдат закърпени или ще приложат скриптовете, от които се нуждаят, възможно най -бързо.“

Редица IT експерти защитиха отговора на Atlassian, като казаха, че обикновено е трудно да се накарат клиентите да актуализират софтуера, особено по време и след празничните почивни дни.

Дейвид Макнили, технически директор в ThycoticCentrify, каза, че това е особено трудно, като се има предвид, че просто отнема време и в много случаи изисква промени в контрола на одобренията и последващи прекъсвания за ръчно извършване на актуализации или закърпване.

Морис от GreyNoise по подобен начин защити отговора на Атласиан, отбелязвайки, че подобни неща се случват „доста редовно“.

“Мисля, че когато се случи нещо подобно, е наистина лесно да се втурне и да иска да се натрупа в Атласиан, че е направил грешно нещо или е направил клиентите си уязвими. Те са отговорни, аз не ги освобождавам от отговорност. Но това се случва с почти всяка софтуерна компания на планетата “, каза Морис.

“От време на време се разкрива уязвимост, пуска се кръпка и след това има период от време, в който продавачът иска да закърпите възможно най -скоро. Но те не могат да ви накарат да го направите.”

Тази ситуация е особено лоша поради това колко организации са засегнати и защото времето – уикендът на Деня на труда – беше тежък, добави Морис.

“Това беше нещо като перфектна буря, защото Confluence работи в интернет, което означава, че тя трябва да бъде устойчива на нападатели, които биха дошли от всяка точка на целия Интернет. Не е като заровена дълбоко в нечия мрежа, където би била малко по -безопасно по подразбиране “, добави Морис.

“Ако това се изпълнява във вашата среда, аз наистина, силно препоръчвам да се поправят и да се извика екип за реакция при инциденти.”



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •