ملخص
- يُظهر سجل Confluence مشكلة هيكلية في المساءلة: كان بإمكان Atlassian إصدار إشعار وتحذيرات وإجراءات تصحيح وإصدارات ثابتة، لكن كل عميل يُدير خدمته ذاتيًا كان لا يزال مضطرًا لتحويل هذا الإشعار إلى جرد، ووقت تعطل، وتنفيذ الترقية، ومراجعة جنائية، واستعادة الثقة.
- CVE-2022-26134 هو أوضح مثال على النمط المشترك لأنه أثّر على Confluence Server و مركز بيانات، وسمح بتنفيذ تعليمات برمجية عن بعد دون مصادقة، وتم استغلاله قبل الإفصاح العام، وأُدرج في كتالوج الثغرات المستغلة المعروفة لـ CISA في 2 يونيو 2022، وأدى إلى عمليات استغلال متنوعة بعد ظهور الإصدارات الثابتة.
- كان لا بد من الفصل بين المسؤولية في الاستضافة والإدارة الذاتية. قالت Atlassian إن مواقعها السحابية لم تتأثر، بينما تحمّل العملاء الذين يُشغّلون Server أو مركز بيانات عبء النسخة المُشغّلة: التعرض للشبكة، تخطيط الترقية، النسخ الاحتياطي، التسجيل، الصلاحيات، التحقيق، واستمرارية الأعمال.
- التصحيح ليس مثل الإغلاق. لاحظ المستجيبون وجود غرسات في الذاكرة، وأصداف ويب، ومحاولات لتعديل السجلات، ومحاولات فدية، وتعدين عملات مشفرة، وحمولات بوت، وحركة استغلال علنية. كان يمكن للإصدار الثابت أن يوقف مسارًا واحدًا مع ترك الأدلة وبيانات الاعتماد والاستمرار والثقة المتضررة دون حل.
- اختبار المساءلة هو ما إذا كان بإمكان منظومة البائع-العميل قياس الوقت حتى الخدمة الموثوقة، وليس مجرد وقت نشر الإشعار أو وقت أول حزمة ثابتة.
التعرض للنمط المشترك هو حالة عمل
غالبًا ما تُقدم Confluence كأداة ويكي أو تعاون، لكنها تصبح في العديد من المؤسسات ذاكرة تشغيلية. تخزن الإجراءات، وملاحظات الحوادث، وشروحات البنية، وصفحات السياسات، وقرارات المشاريع، وكتيبات دعم العملاء، وخطط المنتجات، وروابط إلى أنظمة أخرى. عندما يحتوي منتج واحد بهذا الدور على ثغرة مستغلة بنشاط، فإن المخاطرة لا تقتصر على مالك البرنامج. إنها تمس كل فريق يعتمد عمله اليومي على سلامة تلك المساحات وتوفرها.
جعلإشعار أمان Confluence بتاريخ 2022-06-02من Atlassian هذه المخاطرة علنية بالنسبة لـ CVE-2022-26134. وصف الإشعار مشكلة حقن OGNL في Confluence Server و Confluence مركز بيانات التي يمكن أن تسمح بتنفيذ تعليمات برمجية عن بعد دون مصادقة. كما ذكر أن مواقع Atlassian السحابية لم تتأثر. هذا التمييز السحابي مهم لأنه يوزع المسؤولية التشغيلية. يعتمد عميل الخدمة المستضافة على Atlassian لتشغيل الخدمة المعرضة للثغرة. يعتمد العميل الذي يدير خدمته ذاتيًا على Atlassian للإصلاح لكنه يتحكم في النسخة المُعرضة، ونافذة التغيير، والنسخ الاحتياطي، وإمكانية الوصول للشبكة، وسياق الصلاحيات، والتحقيق بعد الاستغلال.
لم تكن الثغرة عيبًا نظريًا هادئًا. وصف تقريراستغلال يوم الصفر من Volexityاستغلالًا خلال عطلة يوم الذكرى في الولايات المتحدة قبل الإفصاح العام، بما في ذلك أصداف ويب، وغرسة BEHINDER في الذاكرة، والوصول إلى محتوى Confluence المخزن، ومحاولات لتعديل السجلات. وذكر التقرير أيضًا أن Volexity أبلغت Atlassian في 31 مايو 2022. تحركت استجابة Atlassian العامة بسرعة بعد هذا التقرير، لكن السرعة عند البائع لم تُمحِ عبء العملاء الموزع.
أضافت CISA الثغرة CVE-2022-26134 إلىكتالوج الثغرات المستغلة المعروفةفي 2 يونيو مع تاريخ استحقاق 6 يونيو للوكالات المدنية الفيدرالية المشمولة. أشارإنذار CISA المنفصل بتاريخ 3 يونيوالوكالات والمؤسسات إلى الإصدارات الثابتة من Atlassian. الموعد النهائي الفيدرالي ليس موعدًا قانونيًا عالميًا للقطاع الخاص. لكنه لا يزال إشارة عامة قوية حول الإلحاح لأنه يحول "تصحيح مهم" إلى "خدمة مستغلة بنشاط يجب على الأنظمة الحكومية معالجتها فورًا."
مشكلة النمط المشترك هي عدد المؤسسات التي تمر بنفس الطارئ في وقت واحد. قدّرتقرير التهديد من Unit 42وجود 19,707 خادم Confluence يحتمل أنها متأثرة ومرئية على الإنترنت و1,251 خادمًا انتهى عمرها الافتراضي. قالسجل الحالة من DIVDإنها بدأت بإخطار مشغّلي حوالي 15,000 نسخة معرضة للثغرة. هذه الأرقام ليست إحصاءات مُتحققًا منها للضحايا الفريدين أو الاختراقات الناجحة. إنها دليل على أن اكتشاف التعرض كان بحد ذاته مهمة تشغيلية كبيرة.
يسأل اختبار الاعتماد على النمط المشترك ما إذا كان بإمكان المنظومة استيعاب هذه المهمة المتزامنة. كان على Atlassian نشر نطاق دقيق وإصلاحات. كان على العملاء تحديد كل نسخة، خاصة المنسية أو المُعرضة خارجيًا. كان على مزودي الخدمات المدارة ترجمة الإشعارات للعملاء. كان على الوكالات العامة تحديد أولويات العمل الطارئ. كان على بائعي الأمن نشر ملاحظات الكشف والاستجابة. كان على مالكي الأعمال أن يقرروا ما إذا كانوا سيعطلون منصة تعاون قد يحتاجها الموظفون لأداء الاستجابة. تحول عيب المنتج إلى مشكلة تنسيق.
ساعة التصحيح وساعة الخدمة كانتا مختلفتين
غالبًا ما يُقاس توقيت التصحيح من التبليغ إلى الإشعار أو من الإشعار إلى الإصدار الثابت. هذا مفيد لمساءلة البائع، لكنه قد يُخفي ساعة خدمة العميل. تبدأ ساعة العميل عندما يصل التحذير إلى المالك المناسب ولا تنتهي إلا عندما تتمكن المؤسسة من إظهار أن الخدمة المعرضة للثغرة قد عولجت أو عُزلت، وأن فترة التعرض قد حُقق فيها، وأن الخدمة المستعادة موثوقة بما يكفي للاستخدام.
يُظهر تاريخ تحديث إشعار Atlassian سبب اختلاف هاتين الساعتين. حذر الإشعار الأولي في 2 يونيو من استغلال نشط. في 3 يونيو، قامت Atlassian بتحديث معلومات التخفيف ثم أدرجت الإصدارات الثابتة عبر خطوط الإصدار المدعومة. كما حذرت من أن العملاء لا يمكنهم الوصول إلى الإصدارات الثابتة من خلال ترقية متدرجة. هذه النقطة الأخيرة هي حقيقة استمرارية، وليست حاشية. منتج عنقودي لا يمكن معالجته من خلال عملية متدرجة قد يتطلب فترة تعطل أوسع، وموافقة طارئة، وتعطيل للمستخدم.
تُظهر صفحاتمركز ترقية Confluenceوالترقية دون تعطلالعامة من Atlassian أن أعمال الترقية العادية تشمل التحضير، ومراجعة التوافق، والنسخ الاحتياطي، واعتبارات العنقود، والتحقق. ضغط الإشعار الطارئ هذه المهام. كان على العميل أن يقرر ما إذا كان سيتبع مسار ترقية كامل، أو يُطبق استبدالات ملفات مؤقتة، أو يعزل النسخة أثناء التخطيط لتغيير أكثر أمانًا. كل خيار حمل مخاطرة: استمرار القابلية للاستغلال، أو انقطاع تشغيلي، أو فشل التوافق، أو تخفيف غير مكتمل.
النسخ الاحتياطي يُعقد هذا الخيار. توثيقالنسخ الاحتياطي والاستعادةمن Atlassian هو إرشاد عام للمنتج، لكن الحادثة جعلت الغرض منه ملموسًا. احتاج العميل الذي يُحضر للمعالجة الطارئة ثقة بأن البيانات يمكن استعادتها إذا فشلت الترقية. لكن نسخة احتياطية أُخذت بعد الاستغلال قد تحافظ على أصداف ويب أو حالة مخترقة، واستعادة إلى نسخة معرضة للثغرة قد تُعيد خلق المشكلة. النسخ الاحتياطي ليس إغلاقًا. إنه مدخل واحد في مسار استعادة مُختار بعناية.
نشر المعهد الوطني للمعايير والتقنيةSP 800-40 Rev. 4وSP 1800-31قبل هذه الحادثة بقليل. تُصوغ هذه الإرشادات التصحيح كعملية مؤسسية تشمل التحديد، وتحديد الأولويات، والاختبار، والتثبيت، والتحقق، ومعالجة الاستثناءات. إنها ليست نتائج خاصة بـ Confluence. إنها مفيدة لأنها تصف العمل المفقود بين "وجود تصحيح" و "السيطرة على المخاطرة."
بالنسبة لـ Confluence، كان للتحقق عدة أجزاء. هل تم العثور على كل نسخة، بما في ذلك نسخ الاختبار، والقديمة، والمعرضة خارجيًا، أو نسخ المشاريع المفردة؟ هل تم إصلاح الإصدار أم تم حظر الوصول؟ هل تم تطبيق التخفيف على كل عقدة؟ هل كانت الخدمة تعمل بصلاحيات مضيف غير ضرورية؟ هل تم حفظ السجلات قبل التعديل أو الحذف؟ هل تم تدوير بيانات الاعتماد المتصلة؟ هل تم إخبار المستخدمين بما يجب تجنبه أثناء تقييد الخدمة؟ هل كان المحتوى المستعاد موثوقًا؟ يمكن أن تتوقف ساعة التصحيح عندما أصدرت Atlassian حزمًا مصححة. توقفت ساعة الخدمة بعد ذلك بكثير، إذا كان لدى العميل دليل.
لهذا السبب يمكن لثغرة النمط المشترك أن تكشف المؤسسات الأضعف بشكل غير متناسب. قد تمتلك المؤسسات الكبيرة أدوات إدارة الأصول، ومجالس تغيير، وسجلات محفوظة، وبيئات تجريبية، وفرق استجابة للحوادث. قد تمتلك الفرق الصغيرة مسؤولًا واحدًا، ونسخة إنتاج واحدة، ولا بيئة تجريبية منفصلة، وقدرة محدودة على تحمل التعطل. يصل نفس الإشعار إلى كليهما. يجب أن تلاحظ المساءلة عدم التماثل دون التظاهر بأن البائع يمكنه تنفيذ معالجة كل عميل.
لغة القابلية للاستغلال حملت وزنًا تشغيليًا
صياغة إشعار الثغرة ليست علاقات عامة. إنها تحدد ما إذا كان القادة يأذنون بوقت التعطل، وما إذا كان المسؤولون يوقفون العمل الروتيني، وما إذا كانت الوكالات العامة تُشغل عمليات طارئة، وما إذا كانت فرق الأمن تحافظ على الأدلة قبل إعادة تشغيل الخدمة. تطلب CVE-2022-26134 لغة واضحة بشكل غير عادي لأن تنفيذ التعليمات البرمجية عن بُعد دون مصادقة على منصة تعاون مواجهة للإنترنت من السهل الاستهانة به حتى يُسمى الدور التجاري.
قال إشعار Atlassian إن جميع الإصدارات المدعومة من Confluence Server و مركز بيانات متأثرة وأن المشكلة كانت تُستغل بنشاط. ربطسجل المشكلة العام CONFSERVER-79016العيب بحقن قالب OGNL. عكس إدخالCVE-2022-26134في NVD لاحقًا درجة أساسية CVSS 3.1 قدرها 9.8. الدرجات أدوات غير حادة، لكن هنا طابقت الدرجة الواقع التشغيلي: لم يكن هناك حاجة لحساب، وكان يمكن الوصول إلى الخدمة عن بُعد، ويمكن أن يتبعها تنفيذ تعليمات برمجية عشوائية على المضيف.
أضافتالأسئلة الشائعة حول CVE-2022-26134من Atlassian عدة نقاط مهمة للمساءلة. قالت إن الدخول الموحد لن يمنع الاستغلال لأن الثغرة يمكن استغلالها قبل المصادقة. نصحت بضرورة ترقية النسخ غير المواجهة للإنترنت أيضًا. وقالت أيضًا إن Atlassian لا يمكنها تحديد ما إذا كانت نسخة العميل قد اختُرقت وأوصت بأن يقوم العملاء بالتحقيق محليًا أو مع متخصصين. هذا التصريح غير مريح لكنه صادق. لم يكن البائع يمتلك سجلات كل عميل المحلية، وحالة الذاكرة، وتغييرات الملفات، ونشاط الهوية.
قدم مستجيبو الحوادث التفاصيل العملية وراء هذا التحذير. لاحظت Volexity غرسة في الذاكرة، وأصداف ويب على القرص، والوصول إلى جدول المحتوى في بيئة المنتج، ومحاولات لتعديل السجلات. وصف تقريرمشاهد في البريةمن GreyNoise عددًا كبيرًا من عناوين المصدر التي تحاول الاستغلال ومجموعة واسعة من الحمولات. لاحظإنذار التهديد من Cisco Talosتوفر إثبات المفهوم العام والاستغلال النشط. أبلغت Sophos لاحقًا عنفدية وحمولات أخرىتصل إلى الخوادم المعرضة للثغرة. هذه التقارير لا تصف حملة واحدة موحدة. إنها تُظهر كيف تنوع مسار استغلال واحد بسرعة إلى تهديدات تشغيلية عديدة.
أدرجالإنذار المشترك لأهم الثغرات المستغلة روتينيًا لعام 2022الذي قادته CISA لاحقًا CVE-2022-26134 من بين أكثر الثغرات استغلالًا روتينيًا في العام. هذه الحالة الاستعادية مهمة لأنها تُظهر أن الثغرة لم تختفِ من اهتمام المدافع بعد الأسبوع الأول. الأنظمة التي تُركت دون تصحيح، أو استُعيدت من صور قديمة، أو نُسيت بعد الاستحواذ يمكن أن تبقى قيّمة للمهاجمين.
لذلك يجب أن تجيب لغة القابلية للاستغلال الدقيقة على أربعة أسئلة عملية. هل يمكن لمهاجم غير مصادق عليه الوصول إلى المسار؟ هل الخدمة المستضافة سحابيًا متأثرة أم فقط النسخ المدارة ذاتيًا؟ هل يتطلب التخفيف ترقية كاملة، أو استبدال ملف، أو عزل الشبكة، أو إغلاق؟ هل يُنهي تطبيق الإصلاح التحقيق، أم يجب على العملاء افتراض أن الاستغلال قد يكون حدث بالفعل؟ أجابت مواد Atlassian العامة على العديد من هذه الأسئلة، وملأت منظومة المستجيبين العواقب. لم يكن الضعف فقط فيما قاله الإشعار. كان فيما إذا كان كل عميل يمكنه التصرف بناءً عليه بسرعة كافية.
كان يجب أن تكون المسؤولية بين المستضاف والمُدار ذاتيًا صريحة
سجل Confluence هو حالة مسؤولية مشتركة، لكن ليس بالمعنى الغامض أن على الجميع التحسن. المسؤولية تتبع السيطرة. سيطرت Atlassian على تطوير المنتج، ونشر الإشعارات، وإصدار النسخ الثابتة، وتعليمات التخفيف الخاصة بالمنتج، ومواد دعم العملاء، ووضوح نطاق السحابة مقابل الإدارة الذاتية. سيطر العملاء على التعرض، وجرد النسخ، وصلاحيات التشغيل، والنسخ الاحتياطي، والمراقبة، وتنفيذ التغيير، والتحقيق بعد الاستغلال.
صنفتقرير حادثة الأمن للسنة المالية 22من Atlassian استجابة CVE-2022-26134 كحادثة كبيرة وأقر بالاستغلال النشط للنسخ المواجهة للإنترنت. هذا التقرير الصادر عن الشركة مفيد لأنه يؤكد الخطورة الداخلية من منظور Atlassian. إنه لا يقدم مراجعة كاملة لجذور الأسباب تشرح لماذا أفلت الخلل سابقًا، أو كيف تغير اختبار التطوير الآمن بعد ذلك، أو كيف تم التحقق من ضوابط التكرار بشكل مستقل.
تُظهرسياسة نشر إشعارات الأمانالحالية من Atlassian وموادتنبيهات الإشعارات في Confluenceكيف تُصاغ قنوات الإشعارات وتوقعات أمن المنتج اليوم. لا ينبغي معاملة السياسة الحالية كدليل على السياسة الدقيقة التي كانت سارية في مايو 2022. لكنها لا تزال تساعد في تحديد سيطرة المنظومة: يحتاج العملاء إلى قنوات إشعار يمكن الاعتماد عليها، ويحتاج البائعون إلى لغة موجهة للعملاء تحدد كل من الخطورة والإجراء.
تحمل العملاء الذين يُديرون خدماتهم ذاتيًا العبء التشغيلي الأصعب. يمكن أن تكون نسخة Confluence Server أو مركز بيانات خلف جدار ناري، أو على الإنترنت العام، أو خلف وكيل، أو ضمن ترتيب استضافة مُدارة، أو على بنية قديمة. قد تكون مملوكة لقسم تكنولوجيا المعلومات المركزي، أو وحدة أعمال، أو فريق مشروع، أو مقاول. قد تحتوي على إجراءات حالية أو محتوى قديم لا يعتقد أحد أنه حاسم للأعمال حتى يصل الطارئ. لا يمكن للبائع تحديد كل نشر من هذا القبيل بشكل موثوق من الخارج، خاصة عندما تحجب الترخيصات، وعلاقات الموزعين، والاندماجات، وتغييرات الشبكة الملكية.
هذا لا يعني أن العملاء يتحملون المخاطرة وحدهم. يجب أن يكون إشعار البائع مبكرًا، وواضحًا، وقابلًا للتنفيذ، ومُستدامًا. يجب أن تكون الإصدارات الثابتة متاحة للفروع المدعومة. يجب أن يكون التخفيف المؤقت دقيقًا. يجب أن تتجنب الإجابات العامة الاختباء وراء لغة "طبق التصحيحات" العامة عندما يغير الاستغلال النشط المخاطرة. تحركت استجابة Atlassian بسرعة بعد التبليغ، لكن السجل العام يترك دون إجابة لماذا وُجد مسار تنفيذ غير مصادق عليه متأثر على نطاق واسع وما هي أدلة ضمان المنتج التي تغيرت بعد الحدث.
بالنسبة للعملاء، يجب أن يكون معيار المساءلة عمليًا بشكل صارم. يجب أن يكون لمنصة التعاون المدارة ذاتيًا والقابلة للوصول العام مالك، وقناة تصحيح، وسلطة صيانة، ونسخ احتياطي مُختبر، وسجلات محمية خارج مضيف التطبيق، ومراقبة نقطة النهاية أو المضيف، وقيود شبكة، وخطة اتصالات طارئة لا تعتمد فقط على المنصة المخترقة. إذا كانت الشركة لا تستطيع الإجابة على من يملك النسخة وكيف سيتم إيقافها في غضون ساعات، فليس لديها مشكلة إدارة ثغرات فقط. لديها مشكلة اعتماد على الذاكرة التشغيلية.
تطلب إغلاق العميل أدلة، وليس مجرد أرقام الإصدارات
كان تثبيت إصدار Confluence ثابت ضروريًا. لم يكن، بحد ذاته، شهادة صحة نظيفة. كان على العميل الذي استُغل قبل التصحيح أن يجيب على ما إذا كان المحتوى قد قُرئ أو عُدل، وما إذا كانت أصداف الويب لا تزال، وما إذا كانت بيانات الاعتماد قد كُشفت، وما إذا كانت السجلات قد غُيرت، وما إذا كان هناك مستخدمون أنشأهم المهاجم، وما إذا كان قد تم الوصول إلى مضيفين آخرين، وما إذا كان يمكن الوثوق بالمحتوى المستعاد.
رواية Volexity مهمة هنا لأنها لاحظت نشاطًا مقيمًا في الذاكرة وعلى القرص. يمكن لفحص ملف بسيط أن يُخطئ إحدى الفئتين. يمكن لإعادة تشغيل بسيطة أن تزيل الأخرى بينما تفقد الأدلة المتطايرة. يمكن لفحص الإصدار أن يقول إن النسخة ثابتة بينما يبقى الاستمرار في مكان آخر. وضعتأسئلة Atlassian الشائعةبشكل مناسب تقييم الاختراق مع العملاء والمستجيبين المتخصصين لأن Atlassian لم يكن بإمكانها رؤية الحالة المحلية لكل عميل.
لذلك يُعد التسجيل أداة رقابة، وليس رفاهية. توجيه CISAباستخدام التسجيل على أنظمة الأعمالعام، لكنه يتحدث مباشرة إلى هذه الفئة من الحوادث. إذا كانت السجلات موجودة فقط على المضيف المخترق، أو إذا كانت تتدور بسرعة كبيرة، أو إذا كان بإمكان الخدمة نفسها تعديلها، تصبح الثقة بعد الاستغلال هشة. قد يقوم العميل بالتصحيح ولا يزال غير قادر على إثبات ما حدث. يصبح نقص الأدلة آنذاك تكلفة تشغيلية.
يشددتوجيه إدارة الثغراتالحالي من المركز الوطني للأمن السيبراني في المملكة المتحدة على الملكية، وتحديد الأولويات، وسلوك التحديث الافتراضي، والقبول الأعلى للاستثناءات، والتحقق. يضيف توجيهالاستجابة والتعافي للأعمال الصغيرةمن المركز نفسه بُعد الاستمرارية: الاستعداد، والتحديد، والحل، والإبلاغ، والتعلم. هذه ليست نتائج Confluence. إنها مفيدة لأن عملاء Confluence تراوحوا من مؤسسات متطورة إلى منظمات أصغر احتاجت نموذج استجابة بسيطًا.
تطلب الإغلاق أيضًا حكمًا تجاريًا. قد تحتوي Confluence على التعليمات الخاصة بالاستجابة لطوارئ Confluence. قد تحمل قوائم اتصال البائعين، وملاحظات الهندسة المعمارية، أو خطط الاستمرارية. إيقافها يمكن أن يُبطئ الاستجابة. تركها على الإنترنت يمكن أن يحافظ على طريق للمهاجم. منظمة مرنة تخزن كتيبات الطوارئ ومسارات الاتصال خارج النظام نفسه الذي قد تفشل ثقته. الاعتماد على النمط المشترك ليس فقط أن العديد من المؤسسات تُشغل Confluence. إنه أن العديد من المؤسسات تخزن ذاكرة استجابتها داخلها.
لذلك فإن أرقام الإصدارات ليست دليلًا إلا عندما ترتبط بإثبات أوسع. أي النسخ كانت ضمن النطاق؟ أيها كان معرضًا للإنترنت؟ أيها تم تصحيحه، أو عزله، أو إيقافه؟ أيها تم التحقيق فيه لنشاط ما قبل التصحيح؟ أي بيانات الاعتماد تم تدويرها؟ أي السجلات تم حفظها؟ أي مالكي الأعمال قبلوا المخاطرة المتبقية؟ أي المستخدمين تم إخبارهم أن الخدمة أصبحت موثوقة مرة أخرى؟ بدون هذه الإجابات، تكون المؤسسة قد صححت منتجًا ولكن ليس بالضرورة استعادت سطح عمل يمكن الاعتماد عليه.
سؤال المساءلة من العدسة الثانية
غالبًا ما ركزت التغطية السابقة لهذه الحادثة على عدم تماثل وقت التصحيح، الفجوة بين إصلاح البائع ومعالجة العميل. العدسة الثانية أوسع: الاعتماد على النمط المشترك. يمكن لمنصة التعاون أن تجلس بهدوء داخل العديد من المؤسسات غير المرتبطة بينما تُنشئ تعرضًا متزامنًا. عندما تُثير ثغرة واحدة نفس الطارئ في كل مكان، يصبح السؤال ما إذا كان بإمكان المنظومة إعطاء الأولوية للإصلاح دون أن يُعيد كل عميل تعلم نفس الدرس بمفرده.
العنصر الأول من تلك المنظومة هو دليل البائع. يجب تقييم Atlassian ليس فقط على سرعة الإشعار، ولكن على وضوح القابلية للاستغلال، ونطاق الاستضافة مقابل الإدارة الذاتية، ودعم الفروع، ودقة التخفيف، واستجابة الدعم، وضمان ما بعد الحادثة. يدعم السجل العام استجابة طارئة سريعة بعد تقرير Volexity. لا يُثبت السجل العام سجل إصلاح ضمان المنتج المفصل. هذه الفجوة ليست اتهامًا. إنها حد الدليل.
العنصر الثاني هو جرد العميل. لا يمكن للعملاء تصحيح ما لا يمكنهم إيجاده. تُظهر تقديرات التعرض العام من Unit 42 وأعمال الإخطار من DIVD أن الأطراف الخارجية يمكنها رؤية أعداد كبيرة من النسخ. إذا كان بإمكان منظمة غير ربحية خارجية العثور على مضيف معرض للثغرة قبل أن يتصرف المالك، فالمالك لديه مشكلة ملكية أصول. كلما أصبحت منصة أكثر مركزية للعمل، قل قبول أن يكون مالك المنصة غامضًا.
العنصر الثالث هو الأتمتة. يجب ألا تعتمد المعالجة الطارئة على قراءة كل مسؤول لإشعار في اللحظة المثالية. تحتاج المؤسسات إلى ذكاء آلي للثغرات، ورسم خرائط الأصول، وتقييم القابلية للوصول، وفحوصات التكوين، وكتيبات الصيانة، والتصعيد إلى مالكي الأعمال. لا يمكن للأتمتة أن تقرر كل مقايضة، لكنها يمكن أن تقلل الوقت بين التحذير العام والإجراء المؤهل.
العنصر الرابع هو تصميم الاستمرارية. قد تكون Confluence خدمة معرفة بدلاً من نظام دفع، لكن فقدان المعرفة يمكن أن يشل التعافي. إذا احتاجت الفرق إلى Confluence لاكتشاف كيفية عزل Confluence، فالاعتماد دائري. بيئة ناضجة تحتفظ بخريطة طوارئ دنيا، وقائمة اتصال، وعملية تعافٍ خارج نظام التعاون الأساسي.
العنصر الخامس هو الشفافية حول المجهول المتبقي. لا يثبت أي مصدر عدد المؤسسات الفريدة التي اختُرقت عبر CVE-2022-26134. لا يثبت أي سجل عام حالة استغلال كل عميل. لا يشرح أي تقرير عام من Atlassian بشكل كامل لماذا أفلت الخلل سابقًا أو كيف تم منع التكرار. يجب ذكر هذه المجهولات بدلاً من ملئها بافتراضات واثقة.
لذلك فإن اختبار النمط المشترك ليس "هل نشرت Atlassian تصحيحًا؟" إنه "هل استطاع مجتمع المؤسسات المعتمدة على Confluence ترجمة إشعار بائع واحد إلى إصلاح مُتحقق منه قبل أن يصبح سطح الهجوم المشترك ضررًا مشتركًا؟" يُظهر سجل 2022 نجاحًا جزئيًا واحتكاكًا واضحًا. سرعة البائع كانت مهمة. جاهزية العميل كانت مهمة. المستجيبون الخارجيون كانوا مهمين. خطوة المساءلة التالية هي جعل أدلتهم تتصل.
دليل الاعتماد يجب أن يكون قبل الطارئ
أصعب درس من Confluence هو أن الاعتماد لا يمكن حوكمته لأول مرة أثناء الاستغلال. عندما يقول إشعار أن خدمة تعاون مدارة ذاتيًا معرضة لثغرة تنفيذ تعليمات برمجية عن بعد دون مصادقة، تكون المؤسسة قد فقدت بالفعل نافذة التخطيط الهادئ. يجب أن يكون المالكون الصحيحون، والجرد، ونوافذ الصيانة، وحالات النسخ الاحتياطي، وسلطة الطوارئ موجودين قبل وصول التحذير. وإلا فإن الاستجابة للحادثة تبدأ بأعمال اكتشاف كان يجب أن تكون عمليات عادية.
يجب أن يكون مالك Confluence قادرًا على الإجابة على أسئلة أساسية دون بدء تحقيق جديد. أي عمليات الأعمال تعتمد على المساحة؟ هل النسخة Server، أم مركز بيانات، أم Cloud؟ هل يمكن الوصول إليها من الإنترنت؟ على أي فرع إصدار هي؟ هل الفرع مدعوم؟ من يمكنه الموافقة على التعطل؟ أي الإضافات تُنشئ مخاطرة توافق؟ أين تُخزن النسخ الاحتياطية؟ أي السجلات محمية خارج المضيف؟ أي الهويات والرموز مخزنة أو مرتبطة من الخدمة؟ إذا لم تكن هذه الإجابات جاهزة، فإن للثغرة نصفي قطر انفجار: التقني الناتج عن العيب والتنظيمي الناتج عن عدم اليقين.
فصل إشعار Atlassian بشكل صحيح بين Atlassian Cloud و Confluence Server و مركز بيانات المدار ذاتيًا. كان يجب أن يُطلق هذا التمييز خريطة اعتماد داخل كل عميل. احتاجت الفرق التي تستخدم Cloud إلى فهم أن الثغرة المحددة لا تنطبق على موقعها المستضاف. احتاجت الفرق التي تُشغل Server أو مركز بيانات إلى ملكية فورية وإجراء تغيير. في المؤسسات المختلطة، يمكن أن يكون كلا الأمرين صحيحًا. قد تستخدم شركة Atlassian Cloud مركزيًا بينما لا تزال وحدة أعمال، أو شركة مستحوذ عليها، أو مختبر، أو مقاول يُشغل نسخة قديمة مدارة ذاتيًا. يصبح الاعتماد على النمط المشترك صعب الرؤية عندما تختلف الهندسة الرسمية عن العقار الحقيقي.
البرمجيات منتهية العمر مهمة بشكل خاص. تضمن تقدير Unit 42 للأنظمة المحتمل تأثرها والمرئية على الإنترنت مجموعة من الإصدارات منتهية العمر. حالة انتهاء العمر تغير المساءلة لأن مسار التصحيح قد لا يكون مباشرًا. لم يعد بإمكان العميل افتراض دعم البائع الروتيني، أو اختبار التوافق، أو ترقية فرع مدعوم. يصبح الخيار عزلًا طارئًا، أو ترحيلًا، أو دعمًا ممتدًا مدفوعًا حيثما كان متاحًا، أو قبول مخاطرة غير مدعومة. هذا الخيار يعود لمالكي الأعمال قبل الاستغلال، وليس لمسؤول واحد في منتصف الليل.
يجب ألا يكون الإخطار الخارجي أيضًا الطريقة الأساسية لاكتشاف الأصول. كان عمل إخطار DIVD قيمًا، ويمكن للمسح ذي المنفعة العامة أن يساعد في تقليل الضرر. لكن عندما يجد طرف خارجي آلاف النسخ المعرضة للثغرة، يكشف الاكتشاف عن مشكلة حوكمة أعمق: العديد من المشغلين لم يعرفوا بالفعل ما يكفي عن طبقة تعاونهم المعرضة. يجب أن تكون المنظمة الناضجة ممتنة للتحذير الخارجي بينما تسأل لماذا احتاجت التحذير في المقام الأول.
يشمل دليل الاعتماد أيضًا المعرفة التعاقدية ومعرفة الدعم. قد يعتمد العميل على مزود استضافة، أو موزع، أو مزود خدمات مُدارة، أو فريق منصة داخلي لتشغيل Confluence. الشخص الذي يتلقى إشعار Atlassian قد لا يكون الشخص الذي يمكنه التصحيح. الشخص الذي يمكنه التصحيح قد لا يكون مخولًا بإيقاف الخدمة. قد لا يفهم مالك العمل لماذا انقطاع الويكي أكثر أمانًا من ثغرة تنفيذ مكشوفة. يجب أن تشمل خريطة الاعتماد مسارات القرار هذه. وإلا يصبح الإشعار رسالة تبحث عن مالك.
أدلة إدارة التصحيح من NIST مفيدة هنا لأنها تعالج التصحيح كقدرة مخططة بدلاً من مهمة بطولية. التحديد، وتحديد الأولويات، والتحصيل، والاختبار، والتثبيت، والتحقق، وإدارة الاستثناءات كلها تتطلب بيانات قبل الأزمة. تضغط طوارئ Confluence هذه الخطوات، لكن الضغط ليس إلغاءً. الطريقة الوحيدة للتحرك بسرعة دون تغيير متهور هي أن تكون قد تدربت مسبقًا على كيف يبدو التغيير السريع لتلك الخدمة.
تغير عدسة النمط المشترك أيضًا كيف تفكر المؤسسات في الاتصال. إذا كانت Confluence تحمل كتيب الاستجابة للحوادث، وقوائم الاتصال في الطوارئ، ومخططات البنية، وملاحظات دعم البائعين، فإن تقييد المنصة نفسها قد يزيل التعليمات اللازمة لتقييدها. فريق مرن يحتفظ بحزمة استجابة دنيا خارج منصة التعاون: المالكون، والإصدارات الحالية، ومسارات الشبكة، ومواقع النسخ الاحتياطي، وبيانات اعتماد الطوارئ، والإجراءات الرئيسية، والاتصالات الخارجية. هذه الحزمة ليست براقة. إنها الفرق بين منصة معرفة وفخ معرفة.
أداة المساءلة هي سجل إغلاق
بعد ثغرة مثل CVE-2022-26134، الأداة الأكثر فائدة هي سجل الإغلاق. إنه ليس بيانًا صحفيًا، ولا لقطة شاشة لإصدار ثابت، ولا تصريحًا غامضًا بأن النظام قد صُحح. إنه شرح منظم لكيفية انتقال المؤسسة من الإشعار إلى الخدمة الموثوقة. يجب أن يكون السجل محددًا بما يكفي ليفهم مالك العمل، أو المدقق، أو المؤمِّن، أو وظيفة الرقابة في القطاع العام ما تم القيام به وما الذي لا يزال غير مؤكد.
يبدأ سجل الإغلاق بالنطاق. يُدرج كل نسخة Confluence تم النظر فيها، بما في ذلك الإنتاج، والتجهيز، والتطوير، والأنظمة الموقوفة لكن القابلة للوصول، وأنظمة الشركات المستحوذ عليها، وترتيبات الاستضافة، والإصدارات غير المدعومة. يذكر أيها كان Atlassian Cloud وبالتالي خارج نطاق المنتج لهذه الثغرة، وأيها كان Server أو مركز بيانات. يذكر أيها كان مواجهًا للإنترنت وأيها كان داخليًا. يذكر المالك لكل نسخة. النطاق ممل فقط حتى تصبح نسخة غير مملوكة هي الاختراق.
الجزء الثاني هو الإجراء. لكل نسخة ضمن النطاق، يجب أن يذكر السجل ما إذا تم إيقافها، أو حظرها من الإنترنت، أو ترقيتها إلى إصدار ثابت، أو تخفيفها من خلال تعليمات Atlassian المؤقتة، أو إيقافها، أو ترحيلها. يجب أن يحدد التوقيت: متى تم استلام الإشعار، متى تغير الوصول، متى تم تثبيت الإصدار الثابت، متى اكتمل التحقق، ومتى سُمح للمستخدمين بالعودة. يجب أن يسجل أيضًا لماذا تم قبول أي استثناء ومن قبله. القبول الأعلى لاستثناءات التحديث مهم لأن المخاطرة لم تعد تقنية بحتة بمجرد أن يصبح الاستغلال النشط علنيًا.
الجزء الثالث هو حفظ الأدلة. إذا كان الاستغلال نشطًا قبل الإفصاح، يجب على المؤسسة أن تفترض أن السجلات، والذاكرة، والملفات، وبيانات الاعتماد المتصلة قد تكون مهمة. يجب أن يذكر سجل الإغلاق ما هي الأدلة التي تم حفظها قبل إعادة التشغيل أو الترقية، وما هي السجلات التي كانت متاحة، وما إذا تم أخذ صور المضيف أو لقطات الذاكرة حيث كان مناسبًا، وما هي الأدلة التي لم يمكن استعادتها. هذا لا يعني أن على كل منظمة صغيرة أن تقوم بتحقيق جنائي متطور. إنه يعني أن المنظمة يجب أن تعرف الفرق بين "بحثنا ولم نجد دليلاً" و "لم يكن لدينا دليل لننظر فيه."
الجزء الرابع هو تقييم الاختراق. أظهر تقرير Volexity أن الاستغلال يمكن أن يشمل أصداف ويب، وغرزات في الذاكرة، والوصول إلى مخزن المحتوى، وتعديل السجلات. أظهرت Sophos و GreyNoise و Talos و Unit 42 أن الاستغلال اللاحق يمكن أن يشمل عائلات حمولات متعددة. لذلك يجب أن يوثق سجل الإغلاق الفحوصات المُنفذة: مراجعة نظام الملفات لمسارات أصداف الويب المعروفة، وفحوصات العمليات والاستمرار، وسجلات التطبيق، ومؤشرات الصدفة العكسية، والمستخدمين غير المتوقعين، والاتصالات الصادرة، والوصول إلى مخزن المحتوى، وتعرض بيانات الاعتماد، وتنبيهات نقطة النهاية. يجب أن يذكر أيضًا ما إذا تم استخدام مساعدة متخصصة أو لماذا لم تُستخدم.
الجزء الخامس هو مراجعة الأنظمة المتصلة. نادرًا ما تقف Confluence بمفردها. قد تتكامل مع مزودي الهوية، وأنظمة الشيفرة المصدرية، ومنصات التذاكر، وأدوات CI/CD، والدردشة، ومخازن المستندات، ومستودعات المحتوى المنظم. إذا كان مضيف Confluence مخترقًا، قد تحتاج بيانات الاعتماد المستخدمة من قبل هذه التكاملات إلى التدوير أو المراجعة. سجل تصحيح ضيق يتجاهل بيانات الاعتماد المتصلة يمكن أن يترك للمهاجم مسارًا ينجو من الثغرة الأصلية. لذلك يجب أن يشمل الإغلاق حسابات الخدمة، ورموز API، وكلمات مرور مخازن المحتوى، وجلسات الإدارة.
الجزء السادس هو استعادة الأعمال. يجب ألا يعود المستخدمون إلى المنصة لمجرد أن عملية الخادم تعمل. يحتاجون إلى معرفة ما إذا كان المحتوى سليمًا، وما إذا كانت التعديلات التي تمت أثناء نافذة الاستجابة محفوظة، وما إذا كانت المرفقات متاحة، وما إذا كان البحث يعمل، وما إذا كانت الإشعارات موثوقة، وما إذا كانت أي صفحات أو مساحات مقيدة بانتظار المراجعة. إذا كانت المنصة تحتوي على إجراءات تشغيلية، فإن سلامة المحتوى مهمة بقدر التوفر.
الجزء السابع هو التعلم. يجب أن يحدد سجل الإغلاق لماذا كانت النسخة معرضة، ولماذا كانت على فرع إصدارها، وما إذا كانت قنوات التنبيه وصلت إلى الأشخاص المناسبين، وما إذا كانت الموافقة على التعطل بطيئة، وما إذا كانت النسخ الاحتياطية مختبرة، وما إذا كانت السجلات كافية، وما إذا كانت كتيبات الطوارئ خارج Confluence. هنا تتحول المساءلة من اللوم إلى تحسين السيطرة. الغرض ليس معاقبة الشخص الذي طبق التصحيح. إنه جعل الإشعار التالي للنمط المشترك أقل فوضى.
دور Atlassian في هذا الإغلاق هو توفير الحقائق الخاصة بالمنتج التي يحتاجها العملاء: النطاقات المتأثرة، والفروع الثابتة، وصحة التخفيف، وملاحظات القابلية للاستغلال، ونطاق السحابة، وقيود الترقية، وتحذيرات ما بعد الاستغلال. دور العملاء هو تحويل هذه الحقائق إلى دليل محلي. يمكن للوكالات العامة والمستجيبين الخارجيين المساعدة بتحديد الأولويات، والمراقبة، ونشر سياق الكشف. لا يمكن لأي من هؤلاء الفاعلين أن يحل محل الآخرين بالكامل. سجل الإغلاق هو حيث تلتقي أدلتهم.
يجب أن تغير ثغرات Confluence المتكررة سؤال مجلس الإدارة
CVE-2022-26134 ليست الثغرة الحرجة الوحيدة في Confluence في الذاكرة العامة. يجب أن يغير النمط الأوسع لمعالجة Confluence الطارئة المتكررة سؤال مستوى مجلس الإدارة من "هل صححنا تلك الثغرة؟" إلى "لماذا تتطلب طبقة التعاون هذه بشكل متكرر إجراءً طارئًا، وكيف نحد من عواقب الأعمال عندما يحدث ذلك؟" لا يحتاج مجلس الإدارة إلى معرفة كل تفصيلة OGNL. إنه يحتاج إلى معرفة ما إذا كانت المؤسسة جاهزة هيكليًا لإشعار Confluence التالي.
لهذه الجاهزية تكلفة. قد يتطلب إبقاء Confluence محدثًا وقت تعطل، ومراجعة الإضافات، وتواصل المستخدم، والاختبار، واحتكاك عمل عرضي. قد يتطلب تقييد الوصول إلى الإنترنت اتصال VPN، أو وصول ثقة معدومة، أو تغييرات في سير عمل الشركاء. يكلف الحفاظ على السجلات والنسخ الاحتياطي المحمية تخزينًا ووقت موظفين. يمكن أن يتطلب إيقاف النسخ غير المدعومة عمل ترحيل. غالبًا ما تكون هذه التكاليف مرئية قبل الحادثة، بينما الاختراق المُتجنب غير مرئي. المساءلة تعني جعل المخاطرة المُتجنبة مرئية بما يكفي بحيث لا يعامل القادة الصيانة كتدبير منزلي اختياري.
بُعد الاحتباس حقيقي أيضًا. يمكن لمساحات Confluence أن تراكم سنوات من الذاكرة المؤسسية. الترحيل صعب لأن الصفحات، والصلاحيات، والمرفقات، والروابط، والماكروهات، والتكاملات تصبح مغروسة في العمل. يمكن لهذا الالتصاق أن يجعل قرارات الترقية الطارئة أصعب. إضافة هشة أو قالب قديم يمكن أن يبقي المؤسسة على فرع معرض للثغرة لأن الترحيل يبدو معطلًا جدًا. تصبح راحة البقاء في المكان تعرضًا أمنيًا. عملية حوكمة ناضجة تُسمي هذه المقايضة بدلاً من تركها مدفونة في تراكم التذاكر.
بالنسبة لعملاء القطاع العام والخاضعين للتنظيم، يجب أن يشمل سؤال مجلس الإدارة الاستمرارية. إذا استضافت Confluence خطط الطوارئ، أو تفسيرات السياسات، أو ملاحظات الحالات، أو توثيق البنية التحتية، أو إجراءات الخدمة، فإن إغلاقًا أمنيًا يمكن أن يؤثر على العمل العام. يجب أن يعرف المالك أي المعلومات يجب أن تكون متاحة خارج Confluence أثناء حدث أمني. هذه ليست مجرد نظافة سيبرانية. إنها استمرارية الذاكرة المؤسسية.
من المرجح أن يتكرر اختبار الاعتماد على النمط المشترك لأن منصات التعاون واسعة الاستخدام تركز المعرفة. الدرس من سجل Atlassian لعام 2022 ليس أن على العملاء عدم الثقة في المنصة. إنه أن الثقة يجب أن تكون محددة تشغيليًا. يجب أن يكون العملاء قادرين على التصحيح بسرعة، والعزل أسرع، والتحقيق بأمانة، والحفاظ على المعرفة الأساسية قابلة للوصول حتى عندما تكون المنصة قيد الاشتباه. يجب أن يجعل البائع هذا العمل أسهل بإشعارات دقيقة، وفي الوقت المناسب، وصريحة تقنيًا. يجب أن تقيس المنظومة النجاح بالإغلاق المُتحقق منه، وليس بلحظة ظهور إصدار ثابت.
هناك أيضًا درس في المشتريات. غالبًا ما يسأل المشترون ما إذا كان منتج التعاون يدعم المصادقة، والنسخ الاحتياطي، وقنوات الدعم، والتوفر العالي. يجب أن يسألوا أيضًا كيف يصل توجيه الأمن الطارئ إلى المشغلين، ومدى سرعة حصول الفروع المدعومة على الإصلاحات، وماذا يحدث عندما لا يمكن الوصول إلى إصدار ثابت من خلال ترقية متدرجة، وما هي الأدلة التي يجب على العملاء حفظها قبل إعادة تشغيل نسخة مشتبه بها. هذه الأسئلة لا تجعل المشتري مسؤولاً عن كود البائع. إنها تجعل المشتري مسؤولاً عن معرفة كيف سيتم حوكمة أداة مشتركة عند وصول الطارئ التالي.
ملاحظة حول الطباعة
الطباعة هي فن وتقنية ترتيب الحروف لجعل اللغة المكتوبة مقروءة وقابلة للقراءة وجذابة بصريًا. تتضمن اختيار أنواع الخطوط، وأحجام النقاط، وأطوال الأسطر، وتباعد الأسطر، وتباعد الحروف.
- نشأت الطباعة مع اختراع الحروف المتحركة على يد يوهانس غوتنبرغ في القرن الخامس عشر.
- تشمل العناصر الرئيسية اختيار الخط، والتباعد بين الحروف، والتتبع، والتباعد بين الأسطر.
- الطباعة الجيدة تعزز القابلية للقراءة وتنقل المزاج أو النغمة في التصميم.
ما الذي يجب قياسه بعد ذلك
ستقيس بطاقة أداء مفيدة بعد الحادثة الوقت حتى وعي العميل، والوقت حتى تأكيد الجرد، والوقت حتى العزل للأنظمة المواجهة للإنترنت، والوقت حتى الإصدار الثابت المدعوم، والوقت حتى الثقة الجنائية، والوقت حتى استعادة خدمة الأعمال. هذه ساعات مختلفة. دمجها في مقياس تصحيح واحد يجعل المنظومة تبدو أكثر تحكمًا مما هي عليه.
بالنسبة لـ Atlassian، سيشمل الدليل العام الدائم سجل الإشعارات، وتحسينات دعم العملاء، وتغييرات التطوير الآمن، وتحليل المتغيرات، والطريقة التي تقلل بها فرق المنتج احتمال تكرار مسار تقييم تعبير غير مصادق عليه. بالنسبة للعملاء، سيشمل الدليل الدائم قوائم المالكين، والسجلات المحمية، وكتيبات الطوارئ، والنسخ الاحتياطي المختبر، وإجراءات تدوير بيانات الاعتماد، والموافقة التجارية على إيقاف أنظمة التعاون أثناء الاستغلال النشط. بالنسبة للوكالات العامة، سيشمل الدليل الدائم تحديد أولويات ملزم حيث ينطبق وتوجيهات واضحة للمنظمات غير الفيدرالية التي تواجه نفس المخاطرة دون نفس السلطة.
تعلم حادثة Confluence في النهاية أن برمجيات التعاون يمكن أن تصبح بنية تحتية. بمجرد أن تفعل، لم تعد الثغرة الحرجة مجرد حدث صيانة منتج. إنها اختبار لما إذا كانت المعرفة، والاستمرارية، وأدلة الأمن موزعة بشكل جيد بما يكفي بحيث لا يجعل عيب واحد كل منظمة معتمدة ترتجل في نفس الوقت.

