ملخص
- يظهر سجل Confluence مشكلة مساءلة هيكلية: يمكن لـ Atlassian إصدار نشرة إرشادية وتدابير تخفيف وإصدارات مصححة، لكن كل عميل يدير النظام بنفسه لا يزال يتعين عليه تحويل هذا الإشعار إلى جرد وتوقف عن العمل وتنفيذ الترقية ومراجعة جنائية واستعادة الثقة.
- CVE-2022-26134 هو أوضح مثال على النمط المشترك لأنه أثر على Confluence Server وConfluence مركز بيانات، وسمح بتنفيذ تعليمات برمجية عن بعد دون مصادقة، وتم استغلاله قبل الإفصاح العام، وأُدرج في كتالوج الثغرات المستغلة المعروفة لدى CISA في 2 يونيو 2022، وأدى إلى استغلالات متنوعة بعد ظهور الإصدارات المصححة.
- كان لابد من الفصل بين المسؤولية المستضافة والمسؤولية المُدارة ذاتيًا. صرحت Atlassian أن مواقعها السحابية لم تتأثر، بينما تحمل العملاء الذين يديرون Server أو مركز بيانات عبء المثيل الجاري: التعرض الشبكي، وتخطيط الترقية، والنسخ الاحتياطي، وتسجيل الدخول، والامتيازات، والتحقيق، واستمرارية الأعمال.
- التصحيح ليس مثل الإغلاق. لاحظ المستجيبون وجود برمجيات ضارة في الذاكرة، وقذائف ويب، ومحاولات لتغيير السجلات، ومحاولات فدية، وتعدين العملات المشفرة، وحمولات الروبوتات، وحركة مرور استغلال عامة. يمكن للإصدار المصحح أن يوقف مسارًا واحدًا مع ترك الأدلة وبيانات الاعتماد والثبات والثقة المتضررة دون حل.
- اختبار المساءلة هو ما إذا كان النظام البيئي للموردين والعملاء يمكنه قياس الوقت اللازم للوصول إلى خدمة موثوقة، وليس فقط وقت نشر النشرة الإرشادية أو وقت الحزمة المصححة الأولى.
التعرض للنمط المشترك هو حالة عمل
غالبًا ما يتم تقديم Confluence كأداة ويكي أو تعاون، لكنه يصبح في العديد من المؤسسات ذاكرة تشغيلية. يخزن الإجراءات، وملاحظات الحوادث، وشروحات البنية، وصفحات السياسات، وقرارات المشاريع، وأدلة تشغيل دعم العملاء، وخطط المنتج، وروابط لأنظمة أخرى. عندما يحتوي منتج بهذا الدور على ثغرة مستغلة بنشاط، لا يقتصر الخطر على مالك البرنامج. بل يمس كل فريق يعتمد عمله اليومي على سلامة وتوفر تلك المساحات.
جعل تنبيه Atlassian الأمني الخاص بـConfluence بتاريخ 2022-06-02هذا الخطر علنيًا لـ CVE-2022-26134. وصف التنبيه مشكلة حقن OGNL في Confluence Server وConfluence مركز بيانات يمكن أن تسمح بتنفيذ تعليمات برمجية عن بعد دون مصادقة. كما ذكر أن مواقع Atlassian السحابية لم تتأثر. هذا التمييز السحابي مهم لأنه يوزع المسؤولية التشغيلية. يعتمد عميل الخدمة المستضافة على Atlassian لتشغيل الخدمة المعرضة للخطر. العميل المُدار ذاتيًا يعتمد على Atlassian للحصول على التصحيح ولكنه يتحكم في المثيل المكشوف ونافذة التغيير والنسخ الاحتياطية وإمكانية الوصول إلى الشبكة وسياق الامتيازات والتحقيق بعد الاستغلال.
لم تكن الثغرة عيبًا نظريًا هادئًا. وصفتقرير استغلال اليوم الصفري لـ Volexityالاستغلال خلال عطلة نهاية الأسبوع لعيد الذكرى في الولايات المتحدة قبل الإفصاح العام، بما في ذلك قذائف الويب، وبرمجية BEHINDER الضارة المقيمة في الذاكرة، والوصول إلى المحتوى المخزن في Confluence، ومحاولات تغيير السجلات. كما ذكر التقرير أن Volexity أبلغت Atlassian في 31 مايو 2022. تحرك رد Atlassian العام بسرعة بعد ذلك التقرير، لكن السرعة من جانب المورد لم تمحو عبء العمل الموزع على العملاء.
أضافت CISA CVE-2022-26134 إلىكتالوج الثغرات المستغلة المعروفةفي 2 يونيو مع موعد نهائي في 6 يونيو للوكالات المدنية الفيدرالية المشمولة.تنبيه CISA المنفصل بتاريخ 3 يونيووجه الوكالات والمؤسسات إلى إصدارات Atlassian المصححة. الموعد النهائي الفيدرالي ليس موعدًا قانونيًا عالميًا للقطاع الخاص. لكنه لا يزال إشارة عامة قوية حول الإلحاح لأنه يحول "تصحيح مهم" إلى "خدمة مستغلة بنشاط يجب على الأنظمة الحكومية معالجتها فورًا".
قضية النمط المشترك هي عدد المؤسسات التي تتحرك في نفس الطوارئ في وقت واحد.موجز التهديد من Unit 42قدر عدد خوادم Confluence المحتمل تأثرها والمرئية على الإنترنت بـ 19,707 خادمًا، و1,251 خادمًا منتهي الصلاحية.سجل حالة DIVDذكر أنه بدأ بإخطار مشغلي حوالي 15,000 مثيل ضعيف. هذه الأرقام ليست أعدادًا مؤكدة للضحايا الفريدين أو الاختراقات الناجحة. إنها دليل على أن اكتشاف التعرض كان بحد ذاته مهمة تشغيلية كبيرة.
اختبار تبعية النمط المشترك يسأل ما إذا كان النظام البيئي يمكنه استيعاب تلك المهمة المتزامنة. كان على Atlassian نشر النطاق الدقيق والإصلاحات. كان على العملاء تحديد كل مثيل، خاصة المثيلات المنسية أو المكشوفة خارجيًا. كان على مزودي الخدمات المدارة ترجمة التنبيهات للعملاء. كان على الوكالات العامة تحديد أولويات الإجراءات الطارئة. كان على بائعي الأمن نشر ملاحظات الكشف والاستجابة. كان على مالكي الأعمال أن يقرروا ما إذا كانوا سيوقفون منصة تعاون قد يحتاجها الموظفون لتنفيذ الاستجابة. أصبح عيب المنتج مشكلة تنسيق.
ساعة التصحيح وساعة الخدمة كانتا مختلفتين
غالبًا ما يُقاس توقيت التصحيح من التقرير إلى التنبيه أو من التنبيه إلى الإصدار المصحح. هذا مفيد لمساءلة المورد، لكنه يمكن أن يخفي ساعة خدمة العميل. تبدأ ساعة العميل عندما يصل التحذير إلى المالك الصحيح وتنتهي فقط عندما يمكن للمؤسسة إظهار أن الخدمة الضعيفة قد تم إصلاحها أو عزلها، وتم التحقيق في فترة التعرض، واستعادة الخدمة بما يكفي من الثقة لاستخدامها.
يظهر سجل تحديثات تنبيهات Atlassian لماذا تباعدت هذه الساعات. حذر الإشعار الأولي في 2 يونيو من الاستغلال النشط. في 3 يونيو، قامت Atlassian بتحديث معلومات التخفيف ثم أدرجت الإصدارات المصححة عبر خطوط الإصدار المدعومة. كما حذرت من أنه لا يمكن للعملاء الوصول إلى الإصدارات المصححة من خلال ترقية تدريجية. هذه النقطة الأخيرة هي حقيقة استمرارية، وليست حاشية. المنتج المجمع الذي لا يمكن إصلاحه من خلال عملية تدريجية قد يتطلب وقت تعطل أوسع، وموافقة طارئة، وإزعاج للمستخدم.
يظهرمركز ترقية Confluenceالعام لـ Atlassian وصفحاتالترقية دون توقفأن عمل الترقية العادي يشمل التحضير ومراجعة التوافق والنسخ الاحتياطية واعتبارات المجموعة والتحقق. ضغط التنبيه الطارئ هذه المهام. كان على العميل أن يقرر ما إذا كان سيتبع مسار ترقية كامل، أو يطبق استبدالات ملفات مؤقتة، أو يعزل المثيل أثناء التخطيط لتغيير أكثر أمانًا. كل خيار يحمل مخاطرة: استمرار قابلية الاستغلال، أو انقطاع تشغيلي، أو فشل توافق، أو تخفيف غير كامل.
النسخ الاحتياطية تعقد هذا الاختيار. توثيقالنسخ الاحتياطي والاستعادةلـ Atlassian هو إرشاد عام للمنتج، لكن الحادث جعل غرضه ملموسًا. العميل الذي يحضر علاجًا طارئًا يحتاج إلى الثقة في إمكانية استعادة البيانات إذا فشلت الترقية. ومع ذلك، فإن النسخة الاحتياطية المأخوذة بعد الاستغلال قد تحافظ على قذائف الويب أو الحالة المخترقة، والاستعادة إلى إصدار ضعيف قد تعيد المشكلة. النسخة الاحتياطية ليست إغلاقًا. إنها مدخل واحد في مسار استرداد تم اختياره بعناية.
نشر المعهد الوطني للمعايير والتقنية (NIST)SP 800-40 Rev. 4وSP 1800-31قبل هذا الحادث بفترة وجيزة. تلك الأدلة تؤطر التصحيح كعملية مؤسسية تشمل التحديد وتحديد الأولويات والاختبار والتثبيت والتحقق ومعالجة الاستثناءات. إنها ليست نتائج خاصة بـ Confluence. إنها مفيدة لأنها تصف العمل المفقود بين "التصحيح موجود" و"الخطر تحت السيطرة".
بالنسبة لـ Confluence، كان للتحقق عدة أجزاء. هل تم العثور على كل مثيل، بما في ذلك مثيلات الاختبار والقديمة والمكشوفة خارجيًا أو ذات المشروع الواحد؟ هل تم إصلاح الإصدار أو حظر الوصول؟ هل تم تطبيق التخفيف على كل عقدة؟ هل كانت الخدمة تعمل بامتياز مضيف غير ضروري؟ هل تم حفظ السجلات قبل التغيير أو الحذف؟ هل تم تدوير بيانات الاعتماد المتصلة؟ هل تم إبلاغ المستخدمين بما يجب تجنبه أثناء تقييد الخدمة؟ هل كان المحتوى المستعاد موثوقًا به؟ يمكن أن تتوقف ساعة التصحيح عندما تصدر Atlassian حزمًا مصححة. توقفت ساعة الخدمة بعد ذلك بكثير، إذا كان لدى العميل دليل.
لهذا السبب يمكن للثغرة ذات النمط المشترك أن تعرض المؤسسات الأضعف بشكل غير متناسب. قد تمتلك المؤسسات الكبيرة أدوات إدارة الأصول، ومجالس التغيير، والسجلات المحفوظة، وبيئات الاختبار، وفرق الاستجابة للحوادث. قد تمتلك الفرق الصغيرة مسؤولًا واحدًا، ومثيل إنتاج واحد، ولا توجد بيئة اختبار منفصلة، وقدرة محدودة على تحمل التوقف. نفس التنبيه يصل إلى كليهما. يجب أن تلاحظ المساءلة عدم التماثل دون التظاهر بأن المورد يمكنه تنفيذ علاج كل عميل.
لغة قابلية الاستغلال حملت وزنًا تشغيليًا
صياغة تنبيه الثغرة ليست علاقات عامة. إنها تحدد ما إذا كان القادة يأذنون بالتوقف، وما إذا كان المسؤولون يوقفون العمل الروتيني، وما إذا كانت الوكالات العامة تطلق عمليات الطوارئ، وما إذا كانت فرق الأمن تحافظ على الأدلة قبل إعادة تشغيل الخدمة. تطلبت CVE-2022-26134 لغة واضحة بشكل غير عادي لأن تنفيذ التعليمات البرمجية عن بعد دون مصادقة على منصة تعاون مواجهة للإنترنت من السهل التقليل من شأنه حتى يتم تسمية الدور التجاري.
قال تنبيه Atlassian إن جميع الإصدارات المدعومة من Confluence Server وConfluence مركز بيانات تأثرت وأن المشكلة كانت مستغلة بنشاط.سجل المشكلة العام CONFSERVER-79016ربط العيب بحقن قالب OGNL.إدخال CVE-2022-26134 في NVDعكس لاحقًا درجة أساسية 9.8 من CVSS 3.1. الدرجات هي أدوات خشنة، لكن هنا تطابقت الدرجة مع الواقع التشغيلي: لم يكن هناك حاجة إلى حساب، يمكن الوصول إلى الخدمة عن بعد، ويمكن أن يتبع تنفيذ تعليمات برمجية عشوائية على المضيف.
الأسئلة الشائعة لـ CVE-2022-26134 من Atlassianأضافت عدة نقاط تهم المساءلة. قالت إن تسجيل الدخول الموحد لن يمنع الاستغلال لأن الثغرة يمكن تشغيلها قبل المصادقة. نصحت بضرورة ترقية المثيلات غير المواجهة للإنترنت أيضًا. وقالت أيضًا إن Atlassian لا تستطيع تحديد ما إذا كان مثيل العميل قد تم اختراقه، وأوصت بأن يحقق العملاء محليًا أو مع متخصصين. هذا البيان غير مريح لكنه صادق. لم يكن لدى المورد كل السجلات المحلية للعميل، وحالة الذاكرة، وتغييرات الملفات، ونشاط الهوية.
قدم المستجيبون للحوادث التفاصيل العملية وراء هذا التحذير. لاحظت Volexity وجود برمجية ضارة مقيمة في الذاكرة، وقذائف ويب قائمة على القرص، والوصول إلى جداول المحتوى في بيئة المنتج، ومحاولات لتغيير السجلات. وصفتقرير GreyNoise عن الرصد في البريةعددًا كبيرًا من عناوين المصدر التي تحاول الاستغلال ومجموعة واسعة من الحمولات. لاحظتنبيه التهديد من Cisco Talosتوفر إثبات المفهوم العام والاستغلال النشط. أبلغت Sophos لاحقًا عنبرمجيات فدية وحمولات أخرىتصل إلى الخوادم الضعيفة. تلك التقارير لا تصف حملة موحدة واحدة. إنها تظهر مدى سرعة تنوع مسار استغلال واحد إلى تهديدات تشغيلية متعددة.
بما في ذلك CVE-2022-26134 بين الثغرات الأكثر استغلالًا بشكل روتيني خلال العام. هذه الحالة بأثر رجعي مهمة لأنها تظهر أن الثغرة لم تختف من اهتمام المدافعين بعد الأسبوع الأول. الأنظمة التي تركت دون تصحيح، أو استعيدت من صور قديمة، أو نُسيت بعد الاستحواذ يمكن أن تظل ذات قيمة للمهاجمين.
لذلك يجب أن تجيب لغة قابلية الاستغلال الدقيقة على أربعة أسئلة عملية. هل يمكن للمهاجم غير المصادق عليه الوصول إلى المسار؟ هل الخدمة المستضافة سحابيًا متأثرة أم فقط المثيلات المُدارة ذاتيًا؟ هل يتطلب التخفيف ترقية كاملة، أو استبدال ملف، أو عزل الشبكة، أو إيقاف التشغيل؟ هل تطبيق التصحيح ينهي التحقيق، أم يجب على العملاء افتراض أن الاستغلال قد حدث بالفعل؟ أجابت المواد العامة لـ Atlassian على العديد من هذه الأسئلة، وملأ النظام البيئي للمستجيبين العواقب. لم يكن الضعف فقط في ما قاله التنبيه. كان في ما إذا كان كل عميل يمكنه التصرف بناءً عليه بسرعة كافية.
كان لزامًا أن تكون المسؤولية بين المستضافة والمدارة ذاتيًا واضحة
سجل Confluence هو حالة مسؤولية مشتركة، لكن ليس بالمعنى الغامض أنه يجب على الجميع القيام بعمل أفضل. المسؤولية تتبع السيطرة. سيطرت Atlassian على تطوير المنتج، ونشر التنبيهات، وإصدار الإصدارات المصححة، وتعليمات التخفيف الخاصة بالمنتج، ومواد دعم العملاء، ووضوح النطاق السحابي مقابل المُدار ذاتيًا. سيطر العملاء على التعرض، وجرد المثيلات، وامتيازات التشغيل، والنسخ الاحتياطية، والمراقبة، وتنفيذ التغيير، والتحقيق بعد الاستغلال.
صنفتقرير حوادث الأمن للسنة المالية 2022 لـ Atlassianاستجابة CVE-2022-26134 كحادث كبير وأقر بالاستغلال النشط للمثيلات المواجهة للإنترنت. هذا التقرير الذي أعدته الشركة مفيد لأنه يؤكد الشدة الداخلية من وجهة نظر Atlassian. لا يقدم مراجعة كاملة للسبب الجذري تشرح لماذا هرب العيب في وقت سابق، وكيف تغير اختبار التطوير الآمن بعد ذلك، أو كيف تم التحقق من ضوابط التكرار بشكل مستقل.
توضحسياسة نشر التنبيهات الأمنية الحالية لـ Atlassianوموادتنبيهات Confluence الأمنيةكيف يتم تأطير قنوات الإشعار وتوقعات أمان المنتج اليوم. لا ينبغي معاملة السياسة الحالية كدليل على السياسة الدقيقة السارية في مايو 2022. لكنها لا تزال تساعد في تحديد عنصر التحكم في النظام البيئي: يحتاج العملاء إلى قنوات تنبيه موثوقة، ويحتاج الموردون إلى لغة موجهة للعملاء تحدد كلاً من الشدة والإجراء.
كان على العملاء المُدارين ذاتيًا العبء التشغيلي الأصعب. قد يكون مثيل Confluence Server أو مركز بيانات خلف جدار حماية، أو على الإنترنت العام، أو خلف وكيل، أو داخل ترتيب استضافة مُدار، أو على بنية تحتية قديمة. قد يكون مملوكًا لتقنية المعلومات المركزية، أو وحدة أعمال، أو فريق مشروع، أو مقاول. قد يحتوي على إجراءات حالية أو محتوى قديم لا يعتقد أحد أنه حاسم للأعمال حتى تصل الطوارئ. لا يمكن للمورد تحديد كل نشر من هذا القبيل بشكل موثوق من الخارج، خاصةً عندما تحجب التراخيص وعلاقات إعادة البيع وعمليات الدمج والتغييرات الشبكية الملكية.
هذا لا يعني أن العملاء وحدهم يتحملون المخاطرة. يجب أن يكون تنبيه المورد مبكرًا وواضحًا وقابلًا للتنفيذ ومُحدَّثًا. يجب أن تكون الإصدارات المصححة متاحة للفروع المدعومة. يجب أن يكون التخفيف المؤقت دقيقًا. يجب أن تتجنب الإجابات العامة الاختباء وراء لغة "تطبيق التصحيحات" العامة عندما يغير الاستغلال النشط الخطر. تحرك رد Atlassian بسرعة بعد التقرير، لكن السجل العام يترك دون إجابة لماذا كان مسار التنفيذ غير المصادق عليه واسع التأثير موجودًا وما هي أدلة ضمان المنتج التي تغيرت بعد الحدث.
بالنسبة للعملاء، يجب أن يكون معيار المساءلة عمليًا بلا رحمة. يجب أن يكون لمنصة تعاون مُدارة ذاتيًا مع إمكانية الوصول العام مالك، وقناة تصحيح، وسلطة صيانة، ونسخة احتياطية مختبرة، وسجلات محمية خارج مضيف التطبيق، ومراقبة نقطة النهاية أو المضيف، وحدود شبكة، وخطة اتصال طارئ لا تعتمد فقط على المنصة المخترقة. إذا لم تستطع الشركة الإجابة على من يملك المثيل وكيف سيتم إيقافه عن العمل في غضون ساعات، فإنها لا تواجه مشكلة إدارة ثغرات فقط. بل لديها مشكلة اعتماد على الذاكرة التشغيلية.
إغلاق العميل تطلب أدلة، وليس أرقام إصدارات فقط
تثبيت إصدار Confluence مصحح كان ضروريًا. لم يكن، بحد ذاته، شهادة سلامة نظيفة. العميل الذي تم استغلاله قبل التصحيح كان عليه الإجابة عما إذا كان المحتوى قد تمت قراءته أو تغييره، وما إذا كانت قذائف الويب لا تزال موجودة، وما إذا كانت بيانات الاعتماد مكشوفة، وما إذا تم تغيير السجلات، وما إذا كان هناك مستخدمون تم إنشاؤهم بواسطة المهاجم، وما إذا تم الوصول إلى مضيفين آخرين، وما إذا كان المحتوى المستعاد يمكن الوثوق به.
حساب Volexity مهم هنا لأنه لاحظ نشاطًا مقيمًا في الذاكرة وقائمًا على الملفات. يمكن لفحص ملف بسيط أن يفوت فئة واحدة. يمكن لإعادة تشغيل بسيطة أن تزيل فئة أخرى مع فقدان الأدلة المتطايرة. يمكن لفحص الإصدار أن يقول إن المثيل تم إصلاحه بينما بقيت الثباتات في مكان آخر. وضعتالأسئلة الشائعة لـ Atlassianبشكل مناسب تقييم الاختراق مع العملاء والمستجيبين المتخصصين لأن Atlassian لا تستطيع رؤية الحالة المحلية لكل عميل.
لذلك فإن التسجيل هو عنصر تحكم، وليس رفاهية. إرشاد CISA إلىاستخدام التسجيل على أنظمة الأعمالعام، لكنه يتحدث مباشرة إلى هذه الفئة من الحوادث. إذا كانت السجلات موجودة فقط على المضيف المخترق، أو إذا كانت تدور بسرعة كبيرة، أو إذا كانت الخدمة نفسها يمكنها تغييرها، فإن الثقة بعد الاستغلال تصبح هشة. قد يقوم العميل بالتصحيح ولا يزال غير قادر على إثبات ما حدث. نقص الأدلة يصبح بعد ذلك تكلفة تشغيلية.
تؤكدإرشادات إدارة الثغرات الحالية للمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC)على الملكية وتحديد الأولويات وسلوك التحديث الافتراضي وقبول الاستثناءات من كبار المسؤولين والتحقق.إرشادات الاستجابة والاستعادة للشركات الصغيرة من NCSCتضيف بُعد الاستمرارية: الاستعداد والتحديد والحل والإبلاغ والتعلم. هذه ليست نتائج خاصة بـ Confluence. إنها مفيدة لأن عملاء Confluence تراوحوا بين المؤسسات المتطورة والمؤسسات الأصغر التي احتاجت إلى نموذج استجابة بسيط.
تطلب الإغلاق أيضًا حكمًا تجاريًا. قد يحتوي Confluence على التعليمات للاستجابة لطوارئ Confluence. قد يحتوي على قوائم اتصال الموردين، أو ملاحظات البنية، أو خطط الاستمرارية. إيقاف تشغيله يمكن أن يبطئ الاستجابة. تركه متصلاً يمكن أن يحافظ على مسار المهاجم. المؤسسة المرنة تخزن أدلة الطوارئ ومسارات الاتصال خارج النظام نفسه الذي قد تفشل ثقته. الاعتماد على النمط المشترك ليس فقط أن العديد من المؤسسات تدير Confluence. بل إن العديد من المؤسسات تخزن ذاكرة الاستجابة الخاصة بها داخله.
لذلك فإن أرقام الإصدارات هي دليل فقط عندما تكون مرتبطة بإثبات أوسع. ما هي المثيلات التي كانت ضمن النطاق؟ أي منها كان له تعرض للإنترنت؟ أي منها تم تصحيحه أو عزله أو إيقافه؟ أي منها تم التحقيق فيه لنشاط ما قبل التصحيح؟ ما هي بيانات الاعتماد التي تم تدويرها؟ ما هي السجلات التي تم حفظها؟ أي مالكي الأعمال قبلوا المخاطرة المتبقية؟ أي مستخدمين تم إعلامهم بأن الخدمة موثوقة مرة أخرى؟ بدون هذه الإجابات، تكون المؤسسة قد صححت منتجًا لكن ليس بالضرورة استعادت سطح عمل موثوقًا.
سؤال المساءلة من خلال العدسة الثانية
غالبًا ما ركزت التغطية السابقة لهذا الحادث على عدم تناسق وقت التصحيح، والفجوة بين إصلاح المورد وعلاج العميل. العدسة الثانية أوسع: التبعية ذات النمط المشترك. يمكن لمنصة تعاون أن تجلس بهدوء داخل العديد من المؤسسات غير المرتبطة بينما تخلق تعرضًا متزامنًا. عندما تؤدي ثغرة واحدة إلى نفس الطوارئ في كل مكان، يصبح السؤال ما إذا كان النظام البيئي يمكنه تحديد أولويات الإصلاح دون أن يتعلم كل عميل نفس الدرس بمفرده.
العنصر الأول من ذلك النظام البيئي هو دليل المورد. يجب تقييم Atlassian ليس فقط على سرعة التنبيه، ولكن على وضوح قابلية الاستغلال، ونطاق المستضافة مقابل المُدارة ذاتيًا، ودعم الفروع، ودقة التخفيف، واستجابة الدعم، والضمان بعد الحادث. يدعم السجل العام استجابة طارئة سريعة بعد تقرير Volexity. لا يحدد علنًا سجل إصلاح ضمان المنتج المفصل. هذه الفجوة ليست اتهامًا. إنها حدود الأدلة.
العنصر الثاني هو جرد العميل. لا يمكن للعملاء تصحيح ما لا يمكنهم العثور عليه. تقديرات التعرض العامة من Unit 42 وعمل الإخطار من DIVD يظهران أن الأطراف الخارجية يمكنها رؤية أعداد كبيرة من المثيلات. إذا كانت منظمة خارجية غير ربحية يمكنها العثور على مضيف ضعيف قبل أن يتصرف المالك، فإن المالك لديه مشكلة ملكية أصول. كلما أصبحت المنصة أكثر مركزية للعمل، قل قبول أن يكون مالك المنصة غامضًا.
العنصر الثالث هو الأتمتة. لا ينبغي أن يعتمد العلاج الطارئ على كل مسؤول يقرأ تنبيهًا في اللحظة المثالية. تحتاج المؤسسات إلى ذكاء آلي للثغرات، ورسم خرائط الأصول، وتقييم إمكانية الوصول، وفحوصات التكوين، وأدلة الصيانة، والتصعيد إلى مالكي الأعمال. لا يمكن للأتمتة أن تقرر كل مقايضة، لكنها يمكن أن تقلل الوقت بين التحذير العام والإجراء المؤهل.
العنصر الرابع هو تصميم الاستمرارية. قد يكون Confluence خدمة معرفة بدلاً من نظام دفع، لكن فقدان المعرفة يمكن أن يشل التعافي. إذا كانت الفرق تحتاج إلى Confluence لاكتشاف كيفية عزل Confluence، فإن التبعية دائرية. البيئة الناضجة تحتفظ بخريطة طوارئ دنيا وقائمة جهات اتصال وعملية استرداد خارج نظام التعاون الأساسي.
العنصر الخامس هو الشفافية حول المجهول المتبقي. لا يوجد مصدر يحدد عدد المؤسسات الفريدة التي تم اختراقها من خلال CVE-2022-26134. لا يوجد سجل عام يحدد حالة استغلال كل عميل. لا يوجد تقرير عام من Atlassian يشرح بالكامل لماذا هرب العيب في وقت سابق أو كيف تم منع التكرار. يجب ذكر هذه المجهولات بدلاً من ملئها بافتراضات واثقة.
لذلك فإن اختبار النمط المشترك ليس "هل نشرت Atlassian تصحيحًا؟" بل هو "هل يمكن لمجموعة المؤسسات المعتمدة على Confluence ترجمة تنبيه مورد واحد إلى إصلاح مثبت قبل أن يصبح سطح الهجوم المشترك ضررًا مشتركًا؟" يظهر سجل 2022 نجاحًا جزئيًا واحتكاكًا واضحًا. سرعة المورد كانت مهمة. استعداد العميل كان مهمًا. المستجيبون الخارجيون كانوا مهمين. خطوة المساءلة التالية هي جعل أدلتهم متصلة.
دليل التبعية ينتمي قبل الطوارئ
أصعب درس من Confluence هو أنه لا يمكن حكم التبعية لأول مرة أثناء الاستغلال. عندما يقول تنبيه إن خدمة تعاون مُدارة ذاتيًا ضعيفة لتنفيذ تعليمات برمجية عن بعد دون مصادقة، تكون المؤسسة قد فقدت بالفعل نافذة التخطيط الهادئة. يجب أن يكون المالكون المناسبون، والمخزونات، ونوافذ الصيانة، وحالات النسخ الاحتياطي، وسلطة الطوارئ موجودة قبل وصول التحذير. وإلا يبدأ الاستجابة للحوادث بعمل اكتشاف كان يجب أن يكون عمليات عادية.
يجب أن يكون مالك Confluence قادرًا على الإجابة على أسئلة أساسية دون بدء تحقيق جديد. ما هي عمليات الأعمال التي تعتمد على المساحة؟ هل المثيل Server أم مركز بيانات أم Cloud؟ هل يمكن الوصول إليه من الإنترنت؟ على أي فرع إصدار هو؟ هل الفرع مدعوم؟ من يمكنه الموافقة على التوقف؟ ما هي الإضافات التي تخلق خطر التوافق؟ أين يتم تخزين النسخ الاحتياطية؟ ما هي السجلات المحمية خارج المضيف؟ ما هي هويات ورمز الوصول المخزنة أو المرتبطة من الخدمة؟ إذا لم تكن هذه الإجابات جاهزة، فإن الثغرة لها نصفا قطر انفجار: نصف تقني ناتج عن العيب ونصف تنظيمي ناتج عن عدم اليقين.
فصل تنبيه Atlassian بشكل صحيح بين Atlassian Cloud وConfluence Server ومركز بيانات المُدارة ذاتيًا. كان يجب أن يؤدي هذا التمييز إلى خريطة تبعية داخل كل عميل. الفرق التي تستخدم Cloud تحتاج إلى فهم أن CVE المحدد لا ينطبق على موقعها المستضاف. الفرق التي تدير Server أو مركز بيانات تحتاج إلى ملكية فورية وإجراء تغيير. في المؤسسات المختلطة، يمكن أن يكون كلاهما صحيحًا. قد تستخدم شركة Atlassian Cloud مركزيًا بينما تدير وحدة أعمال أو شركة مستحوذة أو مختبر أو مقاول مثيلًا أقدم مُدارًا ذاتيًا. تصبح التبعية ذات النمط المشترك صعبة الرؤية عندما تختلف البنية الرسمية والواقع.
البرامج منتهية الصلاحية مهمة بشكل خاص. تقدير Unit 42 للأنظمة المحتمل تأثرها والمرئية على الإنترنت تضمن مجموعة من الإصدارات منتهية الصلاحية. الحالة المنتهية الصلاحية تغير المساءلة لأن مسار التصحيح قد لا يكون مباشرًا. لم يعد العميل يفترض دعم المورد الروتيني، أو اختبار التوافق، أو ترقية فرع مدعوم. يصبح الخيار هو العزل الطارئ، أو الترحيل، أو الدعم الممتد المدفوع حيثما كان متاحًا، أو قبول مخاطرة غير مدعومة. هذا الخيار ينتمي إلى مالكي الأعمال قبل الاستغلال، وليس إلى مسؤول واحد في منتصف الليل.
يجب ألا يكون الإخطار الخارجي هو طريقة اكتشاف الأصول الأساسية. عمل إخطار DIVD كان قيمًا، والمسح من أجل الصالح العام يمكن أن يساعد في تقليل الضرر. لكن عندما تجد جهة خارجية آلاف المثيلات الضعيفة، فإن الاكتشاف يكشف مشكلة حوكمة أعمق: العديد من المشغلين لم يعرفوا بالفعل ما يكفي عن طبقة التعاون المكشوفة لديهم. المؤسسة الناضجة يجب أن تكون ممتنة للتحذير الخارجي بينما تسأل لماذا احتاجت إلى التحذير في المقام الأول.
يتضمن دليل التبعية أيضًا معرفة العقد والدعم. قد يعتمد العميل على مزود استضافة، أو موزع، أو مزود خدمة مُدارة، أو فريق منصة داخلي لتشغيل Confluence. قد لا يكون الشخص الذي يتلقى تنبيه Atlassian هو الشخص الذي يمكنه التصحيح. قد لا يكون الشخص الذي يمكنه التصحيح مخولًا بإيقاف الخدمة. قد لا يفهم مالك العمل لماذا انقطاع الويكي أكثر أمانًا من ثغرة تنفيذ مكشوفة. يجب أن تتضمن خريطة التبعية مسارات القرار هذه. وإلا يصبح التنبيه رسالة تبحث عن مالك.
أدلة إدارة التصحيح من NIST مفيدة هنا لأنها تعالج التصحيح كقدرة مخططة بدلاً من مهمة بطولية. التحديد وتحديد الأولويات والاقتناء والاختبار والتثبيت والتحقق وإدارة الاستثناءات كلها تتطلب بيانات قبل الأزمة. طوارئ Confluence تضغط هذه الخطوات، لكن الضغط ليس إلغاء. الطريقة الوحيدة للتحرك بسرعة دون تغيير متهور هي أن تكون قد تدربت بالفعل على ما يعنيه التغيير السريع لتلك الخدمة.
تغير عدسة النمط المشترك أيضًا كيف تفكر المؤسسات في الاتصال. إذا كان Confluence يحتوي على دليل الاستجابة للحوادث، وقوائم جهات الاتصال الطارئة، ورسوم البنية، وملاحظات دعم الموردين، فإن نفس المنصة التي يتم تقييدها قد تزيل التعليمات اللازمة لتقييدها. الفريق المرن يحتفظ بحزمة استجابة دنيا خارج منصة التعاون: المالكون، والإصدارات الحالية، والمسارات الشبكية، ومواقع النسخ الاحتياطي، وبيانات اعتماد الطوارئ، والإجراءات الرئيسية، والاتصالات الخارجية. هذه الحزمة ليست أنيقة. إنها الفرق بين منصة معرفة ومصيدة معرفة.
الأثر القابل للمساءلة هو سجل الإغلاق
بعد ثغرة مثل CVE-2022-26134، الأثر الأكثر فائدة هو سجل إغلاق. إنه ليس بيانًا صحفيًا، ولا لقطة شاشة لإصدار مصحح، ولا بيانًا غامضًا بأن النظام تم تصحيحه. إنه شرح منظم لكيفية انتقال المؤسسة من التنبيه إلى الخدمة الموثوقة. يجب أن يكون السجل محددًا بما يكفي لمالك العمل أو المدقق أو شركة التأمين أو وظيفة الإشراف في القطاع العام لفهم ما تم فعله وما لا يزال غير مؤكد.
يبدأ سجل الإغلاق بالنطاق. يسرد كل مثيل Confluence تم النظر فيه، بما في ذلك الإنتاج والاختبار والتطوير والأنظمة الموقوفة ولكن القابلة للوصول وأنظمة الشركات المستحوذ عليها والترتيبات المستضافة والإصدارات غير المدعومة. يذكر أي منها كان Atlassian Cloud وبالتالي خارج نطاق المنتج لهذه CVE، وأيها كان Server أو مركز بيانات. يذكر أي منها كان مواجهًا للإنترنت وأيها كان داخليًا. يذكر المالك لكل مثيل. النطاق ممل فقط حتى يصبح المثيل غير المملوك هو الاختراق.
الجزء الثاني هو الإجراء. لكل مثيل داخل النطاق، يجب أن يقول السجل ما إذا تم إيقافه، أو حظره من الإنترنت، أو ترقيته إلى إصدار مصحح، أو تخفيفه من خلال تعليمات Atlassian المؤقتة، أو إيقافه، أو ترحيله. يجب أن يحدد التوقيت: متى تم استلام التنبيه، ومتى تغير الوصول، ومتى تم تثبيت الإصدار المصحح، ومتى اكتمل التحقق، ومتى سُمح للمستخدمين بالعودة. يجب أيضًا أن يسجل لماذا تم قبول أي استثناء ومن قبله. قبول كبار المسؤولين لاستثناءات التحديث مهم لأن المخاطرة لم تعد تقنية بحتة بمجرد أن يصبح الاستغلال النشط علنيًا.
الجزء الثالث هو الحفاظ على الأدلة. إذا كان الاستغلال نشطًا قبل الإفصاح، يجب على المؤسسة افتراض أن السجلات والذاكرة والملفات وبيانات الاعتماد المتصلة قد تهم. يجب أن يقول سجل الإغلاق ما هي الأدلة التي تم حفظها قبل إعادة التشغيل أو الترقية، وما هي السجلات المتاحة، وما إذا تم التقاط صور المضيف أو لقطات الذاكرة عند الاقتضاء، وما هي الأدلة التي لا يمكن استردادها. هذا لا يعني أن كل مؤسسة صغيرة يجب أن تجري تحقيقًا جنائيًا متطورًا. يعني أن المؤسسة يجب أن تعرف الفرق بين "نظرنا ولم نجد دليلاً" و"لم تكن لدينا أدلة لننظر إليها".
الجزء الرابع هو تقييم الاختراق. أظهر تقرير Volexity أن الاستغلال يمكن أن يشمل قذائف ويب، وبرمجيات ضارة في الذاكرة، والوصول إلى مخزن المحتوى، وتغيير السجلات. أظهرت Sophos وGreyNoise وTalos وUnit 42 أن الاستغلال اللاحق يمكن أن يشمل عائلات حمولات متعددة. لذلك يجب أن يوثق سجل الإغلاق الفحوصات التي تم إجراؤها: مراجعة نظام الملفات لمسارات قذائف الويب المعروفة، وفحوصات العملية والثبات، وسجلات التطبيق، ومؤشرات الصدفة العكسية، والمستخدمين غير المتوقعين، والاتصالات الصادرة، والوصول إلى مخزن المحتوى، وتعرض بيانات الاعتماد، وتنبيهات نقطة النهاية. يجب أيضًا أن يذكر ما إذا تم استخدام مساعدة متخصصة أو لماذا لم يتم استخدامها.
الجزء الخامس هو مراجعة الأنظمة المتصلة. نادرًا ما يقف Confluence بمفرده. قد يتكامل مع موفري الهوية، وأنظمة التعليمات البرمجية المصدر، ومنصات التذاكر، وأدوات CI/CD، والدردشة، ومخازن المستندات، ومخازن المحتوى المنظمة. إذا تم اختراق مضيف Confluence، فقد تحتاج بيانات الاعتماد المستخدمة من قبل تلك التكاملات إلى التدوير أو المراجعة. سجل تصحيح ضيق يتجاهل بيانات الاعتماد المتصلة يمكن أن يترك المهاجم بمسار ينجو من الثغرة الأصلية. لذلك يجب أن يشمل الإغلاق حسابات الخدمة، ورموز API، وكلمات مرور مخزن المحتوى، وجلسات الإدارة.
الجزء السادس هو استعادة الأعمال. لا ينبغي للمستخدمين العودة إلى المنصة لمجرد أن عملية الخادم قيد التشغيل. يحتاجون إلى معرفة ما إذا كان المحتوى سليمًا، وما إذا كانت التعديلات التي تم إجراؤها خلال نافذة الاستجابة قد تم حفظها، وما إذا كانت المرفقات متاحة، وما إذا كان البحث يعمل، وما إذا كانت الإشعارات موثوقة، وما إذا كانت أي صفحات أو مساحات مقيدة بانتظار المراجعة. إذا كانت المنصة تحتوي على إجراءات تشغيلية، فإن سلامة المحتوى لا تقل أهمية عن التوفر.
الجزء السابع هو التعلم. يجب أن يحدد سجل الإغلاق لماذا كان المثيل مكشوفًا، ولماذا كان على فرع الإصدار الخاص به، وما إذا كانت قنوات التنبيه وصلت إلى الأشخاص المناسبين، وما إذا كانت الموافقة على التوقف بطيئة، وما إذا كانت النسخ الاحتياطية مختبرة، وما إذا كانت السجلات كافية، وما إذا كانت أدلة الطوارئ خارج Confluence. هنا تتحول المساءلة من اللوم إلى تحسين السيطرة. الغرض ليس معاقبة الشخص الذي طبق التصحيح. إنه جعل التنبيه التالي ذو النمط المشترك أقل فوضوية.
دور Atlassian في مثل هذا الإغلاق هو توفير الحقائق الخاصة بالمنتج التي يحتاجها العملاء: النطاقات المتأثرة، والفروع المصححة، وصحة التخفيف، وملاحظات قابلية الاستغلال، والنطاق السحابي، وقيود الترقية، وتحذيرات ما بعد الاستغلال. دور العملاء هو تحويل تلك الحقائق إلى دليل محلي. يمكن للوكالات العامة والمستجيبين الخارجيين المساعدة من خلال تحديد الأولويات والمراقبة ونشر سياق الكشف. لا يمكن لأي من هذه الجهات أن تحل محل الأخرى بالكامل. سجل الإغلاق هو حيث تلتقي أدلتهم.
ثغرات Confluence المتكررة يجب أن تغير سؤال مجلس الإدارة
CVE-2022-26134 ليست الثغرة الحرجة الوحيدة في Confluence في الذاكرة العامة. النمط الأوسع من علاجات طوارئ Confluence المتكررة يجب أن يغير سؤال مجلس الإدارة من "هل قمنا بتصحيح تلك CVE؟" إلى "لماذا تتطلب طبقة التعاون هذه إجراءات طارئة بشكل متكرر، وكيف نحد من العواقب التجارية عندما يحدث ذلك؟" لا يحتاج مجلس الإدارة إلى معرفة كل تفاصيل OGNL. يحتاج إلى معرفة ما إذا كانت المؤسسة جاهزة هيكليًا لتنبيه Confluence التالي.
لهذا الاستعداد تكلفة. الحفاظ على Confluence محدثًا قد يتطلب توقفًا، ومراجعة الإضافات، وتواصل المستخدم، واختبارًا، واحتكاكًا تجاريًا عرضيًا. تقييد الوصول إلى الإنترنت قد يتطلب VPN، أو وصول الثقة الصفرية، أو تغييرات في مسارات عمل الشريك. الحفاظ على السجلات والنسخ الاحتياطية المحمية يكلف تخزينًا ووقت موظفين. إيقاف المثيلات غير المدعومة قد يتطلب عمل ترحيل. هذه التكاليف غالبًا ما تكون مرئية قبل الحادث، بينما الاختراق الذي تم تجنبه غير مرئي. المساءلة تعني جعل المخاطرة التي تم تجنبها مرئية بما يكفي حتى لا يعامل القادة الصيانة كتدبير منزلي اختياري.
بُعد الاحتكار حقيقي أيضًا. يمكن لمساحات Confluence أن تتراكم سنوات من الذاكرة المؤسسية. الترحيل صعب لأن الصفحات والأذونات والمرفقات والروابط والماكرو وعمليات التكامل تصبح مضمنة في العمل. هذا الالتصاق يمكن أن يجعل قرارات الترقية الطارئة أصعب. إضافة هشة أو سمة قديمة يمكن أن تبقي المؤسسة على فرع ضعيف لأن الترحيل يبدو مربكًا للغاية. تصبح الراحة التجارية في البقاء ساكنًا تعرضًا أمنيًا. عملية الحوكمة الناضجة تسمي هذه المقايضة بدلاً من تركها مدفونة في تراكم التذاكر.
بالنسبة للعملاء في القطاع العام والمنظمين، يجب أن يتضمن سؤال مجلس الإدارة الاستمرارية. إذا كان Confluence يستضيف خطط الطوارئ، وتفسيرات السياسات، وملاحظات الحالات، وتوثيق البنية التحتية، أو إجراءات الخدمة، فإن الإغلاق الأمني يمكن أن يؤثر على العمل العام. يجب أن يعرف المالك أي المعلومات يجب أن تكون متاحة خارج Confluence أثناء حدث أمني. هذه ليست فقط نظافة سيبرانية. إنها استمرارية الذاكرة المؤسسية.
من المحتمل أن يتكرر اختبار التبعية ذات النمط المشترك لأن منصات التعاون المستخدمة على نطاق واسع تركز المعرفة. الدرس من سجل Atlassian لعام 2022 ليس أن العملاء يجب أن لا يثقوا في المنصة. إنه أن الثقة يجب أن تكون محدودة تشغيليًا. يجب أن يكون العملاء قادرين على التصحيح بسرعة، والعزل بشكل أسرع، والتحقيق بأمانة، والحفاظ على المعرفة الأساسية قابلة للوصول حتى عندما تكون المنصة تحت الشك. يجب على المورد تسهيل ذلك العمل من خلال تنبيهات دقيقة وفي الوقت المناسب وصادقة تقنيًا. يجب على النظام البيئي قياس النجاح من خلال الإغلاق المثبت، وليس بلحظة ظهور إصدار مصحح.
هناك أيضًا درس في المشتريات. غالبًا ما يسأل المشترون ما إذا كان منتج التعاون يدعم المصادقة والنسخ الاحتياطية وقنوات الدعم والتوفر العالي. يجب عليهم أيضًا أن يسألوا كيف تصل إرشادات الأمن الطارئ إلى المشغلين، ومدى سرعة تلقي الفروع المدعومة للإصلاحات، وماذا يحدث عندما لا يمكن الوصول إلى إصدار مصحح من خلال ترقية تدريجية، وما هي الأدلة التي يجب على العملاء حفظها قبل إعادة تشغيل مثيل مشبوه. هذه الأسئلة لا تجعل المشتري مسؤولاً عن كود المورد. إنها تجعل المشتري مسؤولاً عن معرفة كيف سيتم حكم أداة مشتركة عندما تصل الطوارئ التالية.
ملاحظة الطباعة
ما يجب قياسه بعد ذلك
بطاقة أداء مفيدة بعد الحادث ستقيس الوقت حتى وعي العميل، الوقت حتى تأكيد الجرد، الوقت حتى العزل للأنظمة المواجهة للإنترنت، الوقت حتى الإصدار المصحح المدعوم، الوقت حتى الثقة الجنائية، والوقت حتى استعادة خدمة الأعمال. هذه ساعات مختلفة. جمعها في مقياس تصحيح واحد يجعل النظام البيئي يبدو أكثر تحكمًا مما هو عليه.
بالنسبة لـ Atlassian، ستشمل الأدلة العامة الدائمة سجل التنبيه، وتحسينات دعم العملاء، وتغييرات التطوير الآمن، وتحليل المتغيرات، والطريقة التي تقلل بها فرق المنتج من احتمالية تكرار مسار تقييم تعبير غير مصادق عليه. بالنسبة للعملاء، ستشمل الأدلة الدائمة قوائم المالكين، والسجلات المحمية، وأدلة الطوارئ، والنسخ الاحتياطية المختبرة، وإجراءات تدوير بيانات الاعتماد، والموافقة التجارية على إيقاف أنظمة التعاون تحت الاستغلال النشط. بالنسبة للوكالات العامة، ستشمل الأدلة الدائمة تحديد الأولويات الملزم حيثما ينطبق، وإرشادات واضحة للمؤسسات غير الفيدرالية التي تواجه نفس المخاطرة دون نفس السلطة.
يعلمنا حادث Confluence في النهاية أن برامج التعاون يمكن أن تصبح بنية تحتية. بمجرد أن تصبح كذلك، فإن الثغرة الحرجة لم تعد مجرد حدث صيانة منتج. إنها اختبار لما إذا كانت المعرفة والاستمرارية والأدلة الأمنية موزعة بشكل جيد بما يكفي بحيث لا يجعل عيب واحد كل مؤسسة تابعة ترتجل في نفس الوقت.

