Sumário
- CVE-2022-26134 foi uma vulnerabilidade crítica de injeção OGNL (Entidade-Graph Navigation Language) no Confluence Server e Confluence Data Center autogerenciados. Ela permitia que um invasor remoto não autenticado executasse código arbitrário. O Atlassian Cloud não foi afetado. A Volexity reportou o zero-day à Atlassian em 31 de maio de 2022 após investigar a exploração durante o fim de semana do Memorial Day nos EUA. A Atlassian publicou seu aviso em 2 de junho e listou versões corrigidas em 3 de junho.
- Essa rápida resposta do fornecedor não encerrou a exposição do cliente. A CISA adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas em 2 de junho e exigiu que as agências civis federais dos EUA bloqueassem o tráfego da internet imediatamente e atualizassem ou removessem os produtos afetados até 6 de junho. Medições da internet e relatos de respondedores mostraram então varreduras generalizadas, múltiplos tipos de payload, tentativas de ransomware, mineração de criptomoedas, atividade de bots, implantações in-memory e web shells.
- O fardo operacional foi assimétrico. A Atlassian poderia produzir software corrigido centralmente, mas cada cliente tinha que identificar todas as instâncias e nós, confirmar versões, restringir o acesso, fazer backup dos dados, testar a mudança, aceitar uma paralisação de emergência, aplicar a correção ou mitigação provisória, validá-la e restaurar o serviço. O aviso específico do incidente da Atlassian alertou que clientes em cluster não poderiam instalar as versões corrigidas como uma atualização contínua. Organizações menores e implantações de nó único enfrentaram, portanto, uma escolha direta entre uma paralisação da colaboração e a exposição contínua.
- A aplicação de patches foi necessária, mas não suficiente. A Volexity observou um implante apenas em memória, web shells no disco, acesso ao banco de dados e tentativas de alterar logs. O FAQ da Atlassian disse que a empresa não poderia determinar se a instância de um cliente havia sido comprometida e aconselhou uma investigação forense local. Uma atualização de versão bem-sucedida poderia fechar a vulnerabilidade enquanto deixava informações roubadas, credenciais, persistência ou evidências destruídas não resolvidas.
- A responsabilidade deve seguir a capacidade de controle. A Atlassian controlou o desenvolvimento seguro do produto, a investigação da vulnerabilidade, os backports de correções, a qualidade do lançamento, o aviso e a orientação de detecção específica do produto. Os clientes controlaram o inventário de ativos, a exposição pública, o privilégio operacional, os limites de rede, o registro, o backup, a execução de mudanças, a resposta a incidentes e a continuidade. O registro apoia o crédito pela resposta rápida da Atlassian, da divulgação à correção, mas não contém uma revisão pública da causa raiz suficientemente detalhada para avaliar por que uma falha de grande alcance escapou antes. Também não estabelece quantos sistemas expostos foram comprometidos com sucesso.
- A lição duradoura é medir o tempo até um serviço confiável, não meramente o tempo até um patch. Para uma plataforma de conhecimento ativamente explorada, o encerramento requer prova de que cada instância foi corrigida ou isolada, o período de exposição foi investigado, as credenciais e sistemas conectados foram tratados, os procedimentos de continuidade funcionaram e a plataforma restaurada tem um proprietário de negócio responsável.
Uma vulnerabilidade, quatro relógios
A linha do tempo convencional de vulnerabilidades tem dois pontos finais: divulgação e patch. Isso é útil para medir a resposta de um fornecedor, mas comprime o trabalho do cliente em um instante imaginário. O CVE-2022-26134 torna o tempo perdido visível.
O primeiro relógio foi orelógio do fornecedor. Começou quando a Atlassian recebeu informações suficientes para reproduzir e avaliar o defeito. A Volexity diz que entrou em contato com a Atlassian em 31 de maio. Oadvisory de segurançada Atlassian registra um lançamento em 2 de junho às 13h PT e uma atualização em 3 de junho às 10h adicionando sete versões corrigidas. Com base nas evidências públicas, a Atlassian confirmou uma vulnerabilidade crítica ativamente explorada, atribuiu um CVE, comunicou o risco, preparou backports em todos os ramos suportados e lançou correções rapidamente.
O segundo foi orelógio de contenção e mudança. Começou separadamente em cada cliente. Um aviso tinha que chegar a alguém com autoridade para agir. Essa pessoa precisava de um inventário de implantações do Confluence, nós, versões, rotas externas, proprietários, dependências e status de suporte. Cada instância afetada então tinha que ser desconectada, restringida, atualizada, mitigada ou removida. O relógio não parou porque um pacote ficou disponível; parou apenas quando o cliente pôde demonstrar que nenhuma instância vulnerável permanecia acessível.
O terceiro foi orelógio forense. A exploração ativa precedeu a divulgação pública. Os clientes, portanto, tiveram que perguntar se os atacantes os haviam alcançado antes da correção. Essa investigação dependia de evidências retidas da web, sistema operacional, endpoint, identidade, rede e aplicação. Poderia se expandir para aquisição de memória, comparação de sistema de arquivos, revisão de credenciais e exame de sistemas conectados. Um patch mudou a explorabilidade futura. Não poderia reescrever o período anterior à instalação.
O quarto foi orelógio de continuidade. O Confluence normalmente contém procedimentos operacionais, registros de projetos, conhecimento interno, runbooks de incidentes e histórico de decisões. Restringi-lo ou desligá-lo poderia prejudicar o trabalho mesmo quando nenhum dado foi destruído. A restauração exigia mais do que reiniciar um serviço: os usuários precisavam de confiança de que a plataforma estava disponível, completa e segura para uso. Se o wiki continha as instruções necessárias para recuperar o wiki, uma resposta de segurança poderia expor uma dependência circular.
Esses relógios alocam responsabilidades diferentes. Um fornecedor pode encurtar o tempo para uma correção acionável para todos. Não pode inventariar a instância oculta de um cliente, agendar sua manutenção, preservar seus logs ou decidir qual processo de negócio pode tolerar uma interrupção. Um cliente pode isolar e endurecer sua implantação. Não pode inspecionar o registro de desenvolvimento privado do fornecedor ou criar independentemente um patch suportado na mesma velocidade. A responsabilidade fica mais clara quando cada parte é avaliada contra o relógio que pode controlar.
A exploração e a linha do tempo do patch de emergência
A sequência é excepcionalmente bem documentada, mas as evidências têm limites. O relatório da Volexity descreve dois servidores de clientes e sua resposta direta a incidentes. O advisory da Atlassian registra o escopo do produto e os tempos de atualização. O catálogo da CISA registra um prazo de remediação federal. A telemetria da internet descreve varreduras ou sistemas potencialmente expostos, não uma contagem global verificada de vítimas.
| Data | Evento | Significado de responsabilidade |
|---|---|---|
| 26 de maio de 2022 | A Unit 42 relatou posteriormente varreduras históricas por endereços IP associados à atividade desde esta data. | Isto é telemetria de ameaças, não prova de que cada varredura explorou o CVE-2022-26134 ou que a Atlassian sabia da falha então. |
| Fim de semana do Memorial Day dos EUA, 28 a 30 de maio | A Volexity investigou atividade suspeita em dois servidores Confluence voltados para a internet, incluindo web shells JSP escritas no disco. | A exploração estava ocorrendo antes da divulgação pública e antes que um cliente pudesse obter uma correção do fornecedor. |
| 31 de maio | A Volexity diz que reportou o zero-day reproduzido à Atlassian. | O relógio de resposta do fornecedor se tornou mensurável. |
| 2 de junho, 13h PDT | A Atlassian lançou um advisory crítico para exploração ativa de execução remota de código não autenticada. Na publicação inicial, as versões corrigidas ainda não estavam listadas. | Os clientes receberam uma decisão urgente de risco antes que um caminho completo de atualização estivesse disponível. A restrição ou desligamento era o controle imediato defensável. |
| 2 de junho | A CISA adicionou o CVE-2022-26134 ao catálogo de Vulnerabilidades Exploradas Conhecidas com prazo até 6 de junho. | As agências civis federais dos EUA tiveram que bloquear o tráfego da internet imediatamente e atualizar ou remover os produtos afetados. O prazo também forneceu um forte sinal de priorização para outras organizações. |
| 3 de junho, 8h PDT | A Atlassian atualizou as informações de mitigação com arquivos JAR e de classe de substituição. | Clientes que não puderam concluir uma atualização completa ganharam uma opção provisória específica do produto, mas ainda tiveram que alterar cada nó relevante corretamente. |
| 3 de junho, 10h PDT | A Atlassian adicionou as versões corrigidas 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1. A CISA publicou um alerta de atualização correspondente. | O caminho de remediação suportado tornou-se disponível em vários ramos de lançamento mantidos. |
| 3 de junho, 16h PDT | A Atlassian esclareceu que os clientes não poderiam usar uma atualização contínua para alcançar as versões corrigidas listadas. | A remediação de segurança de emergência também se tornou um evento explícito de disponibilidade, inclusive para implantações em cluster. |
| 3 de junho | A Cisco Talos relatou uma prova de conceito pública e alertou que a exploração poderia aumentar. A Unit 42 mediu 19.707 servidores Confluence visíveis na internet que considerou potencialmente afetados, incluindo 1.251 versões sem suporte. | A explorabilidade pública e uma grande superfície de ataque inferida reduziram drasticamente qualquer atraso defensável. Os números eram estimativas de exposição, não organizações vulneráveis confirmadas ou violações. |
| 4 de junho | O Dutch Institute for Vulnerability Disclosure (DIVD) diz que começou a notificar operadores de cerca de 15.000 instâncias vulneráveis. | A notificação externa ajudou proprietários que não encontraram a exposição por conta própria e revelou a escala do problema de inventário. |
| 6 de junho | O prazo federal da CISA chegou. A GreyNoise relatou mais de 850 endereços IP de origem únicos tentando exploração até as 19h UTC. | No prazo, as tentativas de exploração eram amplas e diversas; esperar por evidências de interesse direcionado não era mais uma estratégia de controle racional. |
| 6-7 de junho | O DIVD registrou aproximadamente 1.150 notificações adicionais em 6 de junho e mais de 800 em 7 de junho. | A descoberta continuou após os patches serem públicos. Os números não devem ser somados como uma contagem de vítimas únicas sem mais informações sobre revarreduras e desduplicação. |
| 10 de junho | A Atlassian expandiu sua seção de mitigação para Confluence 6.0.0 e posterior. | A orientação continuou a evoluir após a emergência inicial, especialmente para organizações que não estavam em um caminho de atualização suportado direto. |
| 16 de junho | A Sophos relatou exploração automatizada entregando payloads de bot, cryptominer, Cobalt Strike, web-shell e ransomware; dois incidentes Windows observados envolveram tentativa de implantação do ransomware Cerber. | A vulnerabilidade havia passado do ator e técnica inicialmente observados para atividade de commodity e financeiramente motivada. |
| Agosto de 2023 | Um advisory conjunto liderado pela CISA listou o CVE-2022-26134 entre as 12 vulnerabilidades mais rotineiramente exploradas durante 2022. | A questão não foi apenas um pico de divulgação de curta duração. Tornou-se parte do registro de exploração duradoura do ano. |
Aentrada do NVDdá à questão uma pontuação base CVSS 3.1 de 9.8 e identifica faixas afetadas desde versões após 1.3.0 até cada ramo corrigido. Também reproduz a ação do catálogo da CISA e datas. A amplitude dessas faixas de versão mostra que muitas linhas de lançamento precisaram de correção. Não estabelece, por si só, quando o defeito foi introduzido, quando se tornou praticamente explorável, quando alguém o descobriu pela primeira vez ou se a Atlassian tinha conhecimento prévio.
Essa distinção é importante para a responsabilidade justa. Uma longa faixa de versão afetada pode indicar um grande fardo de remediação e uma linhagem profunda do produto. Não é prova de ocultação deliberada ou de uma falha específica de desenvolvimento seguro. Esses julgamentos exigiriam evidências que o registro público não fornece.
O que o CVE-2022-26134 permitiu
A Atlassian descreveu o CVE-2022-26134 como uma vulnerabilidade de injeção OGNL que permitia que um usuário não autenticado executasse código arbitrário em uma instância do Confluence Server ou Data Center. Em termos práticos, a entrada controlada pelo atacante em uma solicitação HTTP poderia ser avaliada como uma expressão e usada para executar comandos no contexto de segurança do processo do Confluence. Nenhuma conta de usuário válida, sessão roubada ou interação por um funcionário era necessária.
A gravidade, portanto, dependia parcialmente da implantação. O alcance da internet tornava uma instância detectável para varreduras amplas. A conta operacional determinava o que os comandos poderiam fazer no host. O acesso à rede e as credenciais armazenadas moldavam o movimento lateral. As informações no Confluence e seu banco de dados moldavam o impacto na confidencialidade. O monitoramento e a retenção de logs moldavam se a exploração poderia ser posteriormente provada.
Aanálise de resposta a incidentesda Volexity ilustra essa cadeia. Seus respondedores descobriram que o processo do Confluence comprometido estava sendo executado como root, o que dava aos comandos privilégio total do host. Eles identificaram um implante BEHINDER in-memory, um web shell China Chopper, outro shell de upload, reconhecimento, acesso a tabelas do banco de dados local do Confluence e tentativas de alterar logs da web. A Volexity recomendou explicitamente contra a execução do Confluence como root. A vulnerabilidade do produto permitiu a entrada; o privilégio e a arquitetura do lado do cliente poderiam ampliar o que a entrada significava.
O componente in-memory é particularmente importante para evidências de encerramento. Um respondedor que procurasse apenas por arquivos recém-criados poderia perder um implante vivendo na memória. Reiniciar o serviço poderia remover esse componente, mas não removeria um segundo web shell escrito no disco, reverteria a exfiltração ou provaria que as credenciais permaneciam secretas. A Volexity também observou que as solicitações usadas para interagir com o implante poderiam se assemelhar a tráfego legítimo isoladamente. A detecção exigia contexto e uma sequência de evidências, não uma única assinatura universal.
Observações independentes mostram quão rapidamente a população de exploração se diversificou.GreyNoiseviu payloads para reconhecimento, reverse shells, botnets, mineração de criptomoedas, tentativas de criação de usuário administrador, comandos destrutivos e ofuscação.Cisco Talosrelatou exploração contínua e publicou cobertura de detecção de rede.Sophosobservou payloads automatizados de acompanhamento e tentativas de ransomware.Unit 42relatou exploração bem-sucedida associada a uma tentativa de ransomware Cerber em sua telemetria de clientes.
Essas observações não devem ser colapsadas em um único ataque universal. O ator inicial da Volexity, um operador automatizado de mineração de criptomoedas, um distribuidor de botnet e um operador de ransomware tinham objetivos diferentes. Uma organização que não encontrou nenhum endereço IP listado pela Volexity ainda poderia ter sido atacada por outra pessoa. Bloquear endereços de origem conhecidos foi útil como uma medida temporária de atrito, não um substituto para remediação ou investigação.
A resposta da Atlassian foi rápida, mas o registro do produto está incompleto
Medido a partir da notificação relatada pela Volexity em 31 de maio, a Atlassian publicou seu advisory em cerca de dois dias e lançamentos corrigidos no dia seguinte. O advisory manteve um histórico de atualizações, nomeou produtos afetados, separou Cloud de implantações autogerenciadas, listou versões corrigidas, forneceu etapas provisórias de substituição de arquivos, alertou sobre limites de atualização contínua e direcionou os clientes para o lançamento de suporte de longo prazo mais recente. Essas são forças materiais em uma resposta de emergência.
A velocidade importa porque cada hora de análise do fornecedor ocorre enquanto os clientes não têm uma correção suportada. Produzir sete lançamentos é mais do que alterar uma linha de código fonte. Um fornecedor tem que identificar o defeito, testar a correção, determinar os ramos afetados, construir e assinar artefatos, preparar informações de lançamento, coordenar o suporte e evitar criar uma segunda interrupção ou vulnerabilidade. O registro público apoia a conclusão de que a Atlassian tratou isso como uma emergência.
A Atlassian também publicou umFAQ dedicado ao CVE-2022-26134. Esclareceu que o Cloud não era vulnerável, que o SSO não protegia instâncias autogerenciadas porque a exploração era não autenticada, que sistemas não voltados para a internet ainda deveriam ser atualizados e que apenas uma versão corrigida poderia garantir proteção. Aconselhou os clientes a comparar artefatos do sistema de arquivos com backups e a envolver equipes de segurança locais ou especialistas forenses. Essa orientação separou corretamente a remediação da vulnerabilidade da avaliação de comprometimento.
A notificação dependia do canal. O FAQ diz que a Atlassian enviou advisories críticos para a lista de e-mails de Alertas do produto relevante. Apolítica atual de publicação de advisory de segurançada empresa descreve de forma semelhante a postagem pública e a notificação por lista de e-mails. Uma lista de e-mails pode distribuir informações em escala, mas não pode garantir que o operador atual receba, reconheça e aja sobre uma mensagem. Os registros do cliente podem reter um comprador ou administrador anterior. As responsabilidades do serviço gerenciado podem ser ambíguas. Um advisory é uma entrada para a governança do cliente, não uma evidência de que a remediação ocorreu.
Há, no entanto, menos detalhes públicos sobre prevenção. Orelatório de incidente de segurança FY2022da Atlassian classifica a coordenação da resposta ao CVE-2022-26134 como um incidente de Nível 1 e observa exploração ativa em instâncias voltadas para a internet. O advisory e a questão pública descrevem a vulnerabilidade e a remediação. Eles não fornecem uma análise completa da causa raiz do caminho de código relevante, explicam por que os controles existentes de desenvolvimento ou teste não o detectaram, identificam mudanças de controle feitas posteriormente ou publicam validação independente dessas mudanças.
Essa ausência não prova que nenhuma revisão interna ocorreu. Significa que as partes interessadas externas não podem avaliar a resposta de controle preventivo com a mesma precisão disponível para a resposta de patch. Um registro pós-incidente forte separaria pelo menos cinco questões: qual comportamento do código criou o caminho de injeção; quando ele entrou nos ramos mantidos; quais revisões ou testes deveriam tê-lo detectado; por que não o fizeram; e quais mudanças mensuráveis agora testam caminhos de linguagem de expressão comparáveis.
Sem esse relato, o público pode avaliar a velocidade de reação com mais confiança do que a profundidade do aprendizado do produto.
A constatação responsável é, portanto, mista. A Atlassian merece crédito baseado em evidências pela triagem rápida, atualizações transparentes do advisory, amplas correções suportadas e orientação explícita ao cliente. O registro público não é suficiente para decidir se os controles de desenvolvimento seguro subjacentes eram razoáveis, deficientes ou materialmente melhorados após o evento. A velocidade após a descoberta é uma evidência importante de responsabilidade; não é um substituto para explicar a prevenção.
Um patch lançado não é um patrimônio de cliente remediado
Os fornecedores de software frequentemente relatam uma correção como enviada. Os clientes frequentemente relatam um ticket como fechado quando a instalação é bem-sucedida. Nenhum dos dois eventos prova que o risco terminou em toda a organização.
Primeiro, um cliente tem que encontrar o denominador. Isso inclui instâncias de produção, recuperação de desastre, staging, teste, desenvolvimento, migração, treinamento, empresa adquirida, gerenciada por contratante e temporariamente paradas. Inclui cada nó do Data Center e cada rota de proxy reverso. Oregistro de caso do DIVDé revelador porque as notificações continuaram após o advisory e o patch. Pesquisadores externos ainda podiam identificar sistemas vulneráveis cujos proprietários não haviam remediado ou talvez não sabiam que estavam expostos.
Segundo, o cliente deve estabelecer a versão e o status de suporte. A faixa afetada da Atlassian se estendia por lançamentos suportados e antigos. A estimativa da Unit 42 de 1.251 servidores sem suporte expostos à internet em 3 de junho representava um problema de governança distinto. Um produto sem suporte pode não ter um caminho de atualização direto e de baixo risco. Seu sistema operacional, runtime Java, banco de dados, aplicativos ou temas personalizados também podem ser antigos. O que parece ser um patch pode se tornar uma migração de múltiplos componentes.
Terceiro, a instalação deve alcançar cada componente relevante. A mitigação provisória exigia que os clientes parassem o Confluence, substituíssem arquivos JAR ou de classe específicos, preservassem a propriedade e permissões corretas, reiniciassem o serviço e repetissem o processo em todos os nós do cluster. Um JAR antigo copiado deixado no diretório de instalação poderia derrotar a mudança pretendida. A evidência operacional, portanto, tinha que incluir a identidade do artefato e a cobertura do nó, não apenas a declaração de um administrador de que a solução alternativa foi tentada.
Quarto, a conectividade deve ser reavaliada. Um servidor considerado interno ainda pode ser acessível através de VPN, rota de parceiro, gateway de acesso remoto, link de aplicativo, balanceador de carga em nuvem, registro DNS esquecido ou regra temporária de solução de problemas. O FAQ da Atlassian cuidadosamente disse que a falta de acesso geral à internet anulava ataques originados da internet geral, mas ainda recomendava a atualização porque os caminhos de acesso variam. "Interno" é uma hipótese a ser testada, não uma propriedade permanente do ativo.
Quinto, a remediação precisa de verificação. OGuia de Planejamento de Gerenciamento de Patches Empresariaisdo NIST define o processo para incluir identificar, priorizar, adquirir, instalar e verificar atualizações. A verificação deve ser independente da ação de mudança quando possível: um inventário autenticado atualizado, inspeção de hash de pacote ou arquivo, verificações de saúde do aplicativo, teste de vulnerabilidade que não prejudique a produção e confirmação de rede de que as rotas antigas permanecem fechadas até que a validação termine.
A métrica chave não é a porcentagem de instâncias descobertas corrigidas. É a porcentagem do patrimônio responsável em um estado não vulnerável, isolado ou removido. Se o inventário de ativos estiver incompleto, um dashboard de 100% de correção pode ser matematicamente correto e operacionalmente falso. O próprio denominador precisa de garantia.
O patch poderia impedir a entrada sem estabelecer confiança
O FAQ da Atlassian afirma o limite forense central claramente: a Atlassian não poderia confirmar se uma instância individual do cliente havia sido comprometida. Recomendou o envolvimento de pessoal de segurança local ou uma empresa especializada e alertou que os atacantes poderiam alterar logs do sistema, auditoria ou acesso. Essa alocação não foi evasiva; a evidência decisiva vivia nos ambientes dos clientes.
Uma resposta útil, portanto, separou dois fluxos de trabalho. Ofluxo de trabalho de remediaçãopreveniu nova exploração isolando a instância, instalando uma versão corrigida ou mitigação suportada e validando o resultado. Ofluxo de trabalho de incidenteinvestigou a janela histórica de exposição e lidou com quaisquer consequências. Executá-los em paralelo evitou a suposição perigosa de que a perfeição forense tinha que preceder a contenção, enquanto preservava evidências suficientes para tornar conclusões posteriores possíveis.
A janela de investigação não poderia começar em 2 de junho. A Volexity já tinha visto exploração no fim de semana anterior, e a Unit 42 encontrou varreduras de infraestrutura associada já em 26 de maio. Uma organização cautelosa começaria com a evidência confiável mais antiga disponível para ela e expandiria para trás se indicadores, logs ausentes ou comportamento anormal justificassem. Não trataria uma data de pesquisa global como prova do seu próprio comprometimento.
A coleta de evidências precisava se adequar à técnica observada. Fontes relevantes incluíam logs de proxy reverso e acesso web, logs de aplicação do Confluence, eventos de autenticação e administrativos, telemetria de endpoint, criação de processo, memória quando viável, integridade de arquivos, tarefas agendadas, mudanças de serviço, tráfego DNS e de rede de saída, logs de fluxo em nuvem, eventos de provedor de identidade, acesso a banco de dados e uso de credenciais privilegiadas. O registro remoto ou protegido era especialmente valioso porque um atacante com execução de comandos poderia alterar arquivos locais.
Aorientação de registro da CISApara pequenas e médias empresas aconselha proteger os logs contra acesso ou exclusão não autorizados, retê-los de acordo com a política e atribuir funções de incidente em tecnologia, comunicações, jurídico e continuidade. O CVE-2022-26134 mostra por que esses são controles conectados. A retenção de logs não é apenas uma despesa de operações de segurança; determina se a gestão pode posteriormente distinguir 'nenhuma evidência encontrada' de 'nenhuma evidência retida'.
Se o comprometimento foi encontrado ou não pôde ser razoavelmente excluído, a reconstrução a partir de mídia confiável poderia ser mais segura do que limpar um host desconhecido. Credenciais disponíveis para o serviço Confluence, armazenadas na configuração, usadas para o banco de dados, detidas por administradores ou expostas em conteúdo do wiki poderiam exigir rotação. Sistemas conectados poderiam precisar de revisão. Backups tinham que ser verificados quanto à integridade e à possibilidade de preservarem um estado comprometido.
A análise de exposição de dados tinha que considerar o que a instância continha e o que a conta de serviço poderia alcançar.
É por isso que 'corrigido em 24 horas' e 'recuperado em 24 horas' são afirmações diferentes. A primeira pode ser provada pelo estado do software. A segunda requer evidências sobre a atividade do atacante, integridade dos dados, identidade, sistemas conectados e operação do negócio. Uma organização pode estar seguramente offline, vulneravelmente online, corrigida mas não confiável, ou restaurada e confiável. Um dashboard responsável preserva esses estados em vez de reduzi-los a vermelho e verde.
O patching de emergência também foi um incidente de disponibilidade
O advisory específico do incidente da Atlassian disse que clientes executando um cluster não poderiam atualizar para as versões corrigidas sem tempo de inatividade. Esse aviso derruba a suposição confortável de que a arquitetura do Data Center sempre transforma uma atualização crítica em uma mudança contínua e sem interrupções. O estado de software mais seguro exigiu uma interrupção.
Adocumentação geral de atualização contínuada Atlassian explica que a elegibilidade para zero downtime depende das versões de origem e destino, que requer um cluster Data Center de múltiplos nós e que os nós ativos devem ter capacidade suficiente enquanto outro nó está offline. Recomenda backups, verificações pré-atualização e um ambiente de staging. Essas são práticas sólidas, mas um zero-day comprime o tempo disponível para realizá-las.
Clientes de nó único não tinham um segundo nó Confluence para transportar o tráfego. Alguns podiam colocar uma página estática de manutenção ou uma exportação somente leitura na frente dos usuários; outros não tinham substituto preparado. Organizações que construíram automação, ensaiaram atualizações, testaram backups e documentaram dependências podiam se mover mais rápido com menos incerteza. Organizações que tratavam a manutenção como trabalho técnico ocasional tinham que descobrir o procedimento durante a emergência.
A escolha não era 'segurança ou disponibilidade' no abstrato. A exposição contínua também ameaçava a disponibilidade porque os atacantes estavam implantando comandos destrutivos, software de bot, cryptominers e ransomware. O tempo de inatividade planejado impunha uma interrupção limitada e gerenciada. O comprometimento não contido poderia criar uma interrupção mais longa e menos previsível. O objetivo de controle era escolher a rota menos prejudicial para um serviço confiável, não manter a página de status verde a qualquer custo.
Ohub de atualizaçãoda Atlassian e a orientação do Data Center enfatizam backups, compatibilidade, mudanças de configuração e verificações pós-atualização. Adocumentação de backup e restauraçãotambém ilustra por que 'fazer um backup' não é um controle de continuidade completo. Diferentes métodos de backup têm diferentes propósitos; um trabalho de backup pode falhar; uma restauração pode sobrescrever dados atuais; e uma reinicialização pode interromper uma tarefa. Um plano de recuperação útil testa a restauração em vez de contar arquivos.
Para uma plataforma de conhecimento, o design de continuidade deve incluir um conjunto operacional mínimo offline: contatos de incidente, etapas de recuperação de identidade e infraestrutura, diagramas de rede, detalhes da conta do fornecedor, autoridades de decisão, procedimentos críticos do cliente e as instruções para restaurar o próprio Confluence. Essa cópia deve ser protegida, atual e acessível sem a identidade ou caminho de aplicação afetado. Exportar todas as páginas não é necessário; preservar o pequeno conjunto necessário para operar durante o isolamento é.
Por que as PMEs carregam um fardo de continuidade desproporcional
A vulnerabilidade era tecnicamente idêntica para uma multinacional e uma pequena empresa executando a mesma versão afetada. A capacidade de absorver a resposta não era.
Uma grande empresa pode ter um centro de operações de segurança 24 horas, um banco de dados de configuração, um cluster de staging, automação de infraestrutura, uma empresa de resposta a incidentes contratada, proprietários de aplicativos e executivos autorizados a aceitar tempo de inatividade. Ainda poderia falhar, mas tinha capacidade especializada. Uma organização menor pode ter um administrador, um provedor terceirizado, um único nó de produção, retenção limitada de logs, nenhum ambiente de teste e uma instância Confluence mantida principalmente quando algo quebra.
Essa diferença cria uma fila de resposta. A mesma pessoa pode precisar ler o advisory, verificar a autenticidade, entrar em contato com a gerência, encontrar o servidor, fazer um backup, testar uma atualização, notificar os usuários, aplicá-la, solucionar problemas de aplicativos, inspecionar logs, falar com um provedor e restaurar o acesso. Embora cada etapa seja individualmente razoável, sua sequência pode exceder a janela de exploração pública. A assimetria do tempo de patch é em parte uma assimetria de expertise e coordenação.
OGuia de Resposta e Recuperação para Pequenas Empresas do NCSCé construído em torno de preparar, identificar, resolver, relatar e aprender. Sua relevância aqui é prática: a preparação move as decisões para fora da crise. Uma PME pode pré-autorizar o isolamento da internet para uma vulnerabilidade crítica explorada, manter contatos de fornecedores atualizados, identificar um provedor forense antes de um incidente, manter um runbook offline e definir quem pode aceitar uma interrupção temporária. Nenhum desses controles requer escala empresarial.
Oguia de práticas de patchingdo NIST reconhece o conflito estrutural diretamente: o patching é intensivo em recursos e pode reduzir a disponibilidade do sistema. Trata inventário, mitigação de emergência, isolamento, teste, rastreamento e verificação como partes da mesma capacidade. Para uma PME, isso sugere um design modesto mas completo, em vez de um programa empresarial em miniatura.
Um conjunto de controles PME viável incluiria:
- Um registro responsável.Registrar a URL da instância, local de implantação, produto e versão, status de licença e suporte, administrador, proprietário do negócio, rotas públicas, dependência de autenticação, banco de dados, método de backup e contato do provedor. Revisá-lo sempre que o serviço mudar.
- Um limite de emergência pré-aprovado.Exploração ativa mais execução remota de código não autenticada em uma instância exposta deve autorizar restrição ou desligamento imediato sem esperar por uma reunião de mudança de rotina.
- Um caminho de manutenção testado.Manter mídia de instalação, registros de configuração, informações de compatibilidade de aplicativos, instruções de backup e uma lista de verificação de validação simples prontos. Ensaie pelo menos uma atualização e restauração.
- Um canal de conhecimento alternativo.Manter cópias protegidas offline ou hospedadas separadamente dos poucos documentos necessários para resposta a incidentes e prestação de serviços essenciais.
- Um contrato de provedor com relógios.Se um MSP opera o serviço, definir quem monitora advisories, quem pode desconectá-lo, tempos de resposta e notificação, retenção de evidências, cobertura após o expediente e quem paga pelo trabalho de emergência.
- Evidência remota.Enviar logs importantes para longe do host da aplicação e reter histórico suficiente para investigar uma janela de pré-divulgação. Saber quem pode recuperá-los.
- Uma decisão de reinicialização.Nomear a pessoa que pode declarar o serviço confiável e definir a evidência necessária: versão corrigida, todos os nós cobertos, verificações de saúde aprovadas, exposição revisada, avaliação de comprometimento concluída em um nível acordado e credenciais tratadas quando necessário.
Aorientação atual de gerenciamento de vulnerabilidadesdo NCSC é direcionada a PMEs e também a organizações maiores. Enfatiza a atualização por padrão, resposta a exploração ativa, identificação de ativos, propriedade sênior de decisões de não atualizar e verificação. Embora atualizada após o incidente do Confluence, ela captura o modelo de governança duradouro: uma equipe técnica pode aconselhar sobre risco, mas uma decisão de permanecer exposto é uma decisão de negócio e deve ser visível como tal.
A limitação das PMEs não deve se tornar uma desculpa genérica. Um wiki sem suporte voltado para a internet executando com privilégios excessivos é um risco evitável independentemente do número de funcionários. Mas a responsabilidade deve reconhecer a capacidade ao alocar remediações. Os fornecedores podem reduzir o fardo do cliente com matrizes de versão claras, advisories legíveis por máquina, hashes de artefatos verificados, instruções concisas de isolamento, hotfixes suportados, pacotes de detecção e comunicações prontas para provedores.
Mercados e parceiros de serviço gerenciado podem tornar a compatibilidade de aplicativos e a propriedade da atualização explícitas. Um design upstream melhor cria uma segurança downstream mais igualitária.
Dependência da nuvem, sem uma violação na nuvem
O CVE-2022-26134 não afetou o Atlassian Cloud. Tanto o advisory quanto o FAQ dizem que as instâncias Cloud hospedadas estavam protegidas e não exigiam ação do cliente. Esse fato deve permanecer central; descrever o evento como uma 'violação genérica do Confluence' incluiria incorretamente um serviço que a Atlassian diz não ser vulnerável.
O evento ainda pertence a uma análise de dependência de serviço em nuvem por duas razões. Primeiro, a Atlassian é uma provedora global de plataforma de colaboração cujos produtos abrangem entrega hospedada e autogerenciada. As organizações dependem do mesmo ecossistema de fornecedor, fluxos de trabalho, mercado de aplicativos, links de identidade e práticas de conhecimento, embora o controle operacional difira. Segundo, a escolha entre Cloud e autogerenciamento é em si uma alocação de controle.
No Atlassian Cloud, o fornecedor pode corrigir o patrimônio hospedado centralmente e os clientes não agendam uma atualização de versão do produto. O cliente abre mão de algum controle de infraestrutura em troca dessa concentração operacional. No Server e Data Center, o cliente controla a hospedagem, exposição à rede, temporização da manutenção, registro e muitas integrações, mas também carrega o fardo da execução. 'Responsabilidade compartilhada' não é uma porcentagem fixa; muda com o modelo de serviço.
Avisão geral de segurança atual do Confluenceda Atlassian diz que a segurança do Data Center é compartilhada e direciona os clientes para uma lista de verificação de segurança. Isso é direcionalmente correto, mas a frase se torna útil apenas quando traduzida em ações nomeadas e evidências. O fornecedor corrige o código do produto. O cliente aplica a correção e protege a implantação. O fornecedor fornece orientação precisa sobre comprometimento. O cliente retém e analisa evidências locais. O fornecedor não pode prometer com segurança que o servidor do cliente está limpo; o cliente não pode atestar independentemente que os controles de desenvolvimento do fornecedor impediram a recorrência.
A migração para um serviço hospedado pode reduzir a execução de patches de emergência, mas não é uma resposta universal. Requisitos regulatórios, de residência, integração, desempenho, personalização ou controle podem apoiar o autogerenciamento. A nuvem também cria dependências de concentração e disponibilidade do provedor. A questão de governança não é qual modelo é moralmente superior. É se a organização financiou as responsabilidades que acompanham o modelo que selecionou.
A responsabilidade deve seguir o controle e a evidência únicos
Um modelo de responsabilidade deve evitar duas falhas fáceis. A primeira atribui tudo ao fornecedor porque o defeito estava em seu código. A segunda atribui tudo após a publicação ao cliente porque um patch existiu. Ambas apagam controles importantes.
| Pergunta de controle | Responsabilidade da Atlassian | Responsabilidade do cliente | Evidência que deve existir |
|---|---|---|---|
| O defeito poderia ter sido prevenido ou encontrado antes? | Design seguro, revisão de código, teste, expertise em dependências e frameworks, recebimento de vulnerabilidades e aprendizado em falhas de injeção semelhantes. | Due diligence de aquisição e configuração não podem reparar um defeito oculto do produto. | Revisão de causa raiz do fornecedor, adições de teste, proprietários de controle e resultados de validação. |
| O aviso foi acionável? | Escopo preciso, gravidade, versões afetadas e corrigidas, artefatos seguros, histórico de atualizações, mitigação, canais de entrega e capacidade de suporte. | Manter contatos atuais, monitorar advisories e sinais KEV, reconhecer recebimento e abrir um registro de emergência próprio. | Carimbos de data/hora do advisory, entrega da mensagem, confirmação, atribuição de proprietário e escalação. |
| Cada implantação foi encontrada? | Fornecer identificadores de produto detectáveis e dados de versão afetada legíveis por máquina. | Manter inventários completos de serviço, software, nó, rota, proprietário e suporte. | Inventário reconciliado de fontes de configuração, rede, nuvem, licenciamento, DNS e descoberta externa. |
| A exposição foi contida? | Publicar opções precisas de restrição e mitigação. | Bloquear rotas de internet, isolar, desabilitar, mitigar, atualizar ou remover de acordo com o risco. | Alterações de firewall e proxy, estado do serviço, aprovações de mudança, carimbos de data/hora nó por nó. |
| A correção foi segura e completa? | Construir, testar, assinar, fazer backport, documentar e suportar lançamentos corrigidos. | Fazer backup, testar quando viável, instalar em todos os nós, preservar a configuração e verificar independentemente. | Hashes de artefatos, logs de implantação, saída de versão, verificações de saúde, validação de vulnerabilidade e registro de exceção. |
| O comprometimento foi avaliado? | Publicar comportamentos específicos do produto, indicadores, locais de log, limitações conhecidas e escalação de suporte. | Preservar evidências locais, definir o período de retrospectiva, caçar, escopar sistemas conectados, rotacionar credenciais expostas, reconstruir quando justificado e cumprir deveres de relatório. | Manifesto de evidências, fontes de tempo, resultados de consulta, conclusões forenses, ações de credenciais e decisões legais. |
| O trabalho essencial continuou? | Tornar os procedimentos de emergência concisos e minimizar a complexidade de atualização evitável. | Manter alternativas testadas, runbooks offline, comunicações, objetivos de recuperação e autoridade de restauração. | Registro de exercício, ativação de fallback, duração da interrupção, testes de recuperação e aceitação do proprietário do negócio. |
| A recorrência foi reduzida? | Publicar melhorias de controle e monitorar caminhos de produto relacionados. | Remover instâncias sem suporte, reduzir exposição pública e privilégio, melhorar o registro e financiar a manutenção. | Plano de remediação com proprietários, prazos, teste e revisão independente. |
Essa alocação também explica por que os clientes precisam de evidências dos fornecedores. Um advisory que diz 'atualize imediatamente' é suficiente para desencadear ação, mas não suficiente para avaliar a governança do produto. Compradores empresariais e órgãos públicos podem razoavelmente solicitar um relato pós-incidente confidencial ou público, mudanças de desenvolvimento seguro, garantia independente e o tempo desde o relatório validado até os lançamentos corrigidos suportados. Compradores menores raramente têm alavancagem individualmente, então a transparência padrão do fornecedor tem valor distributivo.
Os fornecedores, por sua vez, precisam de evidências dos clientes quando o suporte ou a análise de incidente começa. Versões exatas, contagens de nós, topologia, logs, carimbos de data/hora, mudanças, plugins e indicadores observados podem distinguir um defeito de produto de um impacto específico de implantação. Uma afirmação vaga de que 'nós corrigimos' não permite que nenhum dos lados reconstrua o risco.
A responsabilidade pode ser compartilhada sem se tornar diluída. O defeito do produto continua sendo responsabilidade da Atlassian mesmo que um cliente tenha executado o Confluence como root. O privilégio root continua sendo responsabilidade do cliente mesmo que o atacante tenha entrado através do código da Atlassian. O patching lento não apaga o defeito; uma correção rápida não apaga a exposição insegura. Cada controle pode contribuir para a mesma perda e ainda ter um proprietário distinto.
O pacote de evidências para um retorno confiável ao serviço
Para conselhos e proprietários de PMEs, a saída mais útil não é um grande relatório técnico. É um pacote de evidências compacto que permite a um leitor cético seguir a decisão do alerta ao encerramento.
O pacote deve começar com umadeclaração de escopo. Nomeia o CVE-2022-26134, as famílias de produtos afetadas, a versão do advisory autoritativo usado, a data em que a organização recebeu o primeiro aviso e o proprietário da resposta. Lista todas as instâncias e nós conhecidos, incluindo sistemas de não produção e parados, e explica como a lista foi reconciliada com DNS, balanceadores de carga, contas em nuvem, licenciamento, varreduras externas, registros de configuração e dados do provedor.
Em seguida vem oregistro de contenção. Para cada instância, mostra se e quando o tráfego da internet foi bloqueado, o serviço foi interrompido, o acesso foi restringido, uma mitigação provisória foi instalada, um lançamento corrigido foi implantado ou o sistema foi removido. Registra quem autorizou qualquer período de operação continuada e que controles compensatórios existiam. Uma exceção precisa de um prazo de validade e um caminho de escalação.
Oregistro de mudançacaptura a versão anterior à mudança, versão alvo, resultado do backup, verificações de compatibilidade, início e fim da manutenção, proveniência do artefato, cada nó alterado, configuração reaplicada, erros, decisão de reversão e verificações de saúde pós-mudança. Como a Atlassian alertou que os lançamentos corrigidos não eram elegíveis para atualização contínua, o registro também deve mostrar a interrupção que foi planejada e o que foi dito aos usuários.
Oregistro de verificaçãodeve vir de um método independente da memória do operador. Pode incluir saída de versão atual, identidade do pacote, checksums quando fornecidos, inventário de software autenticado, validação segura de vulnerabilidade, testes de acessibilidade externa e confirmação de que nenhum nó ou imagem antigo retornou ao serviço. A pessoa que aprova o encerramento deve ser capaz de ver o denominador e o resultado.
Aavaliação de comprometimentoinforma o período investigado, fontes de evidência, lacunas de retenção, sincronização de relógio, indicadores e comportamentos testados, descobertas e confiança. Distingue 'nenhuma evidência de exploração encontrada' de 'não comprometido'. Se os logs começaram após a janela de ataque plausível, a limitação é um fato de gestão, não uma nota de rodapé para esconder. Onde o comprometimento é encontrado, o pacote vincula a contenção, rotação de credenciais, revisão de sistemas conectados, notificação, reconstrução e decisões de recuperação.
Oregistro de continuidadeidentifica quais funções de negócio perderam acesso, que alternativa foi ativada, se os procedimentos essenciais permaneceram disponíveis, o tempo de inatividade real, a reconciliação de dados necessária após a restauração e a aceitação do proprietário do negócio. O uptime técnico sozinho é insuficiente se a equipe não conseguiu alcançar as informações necessárias para operar.
Finalmente, oplano de recorrênciaatribui melhorias datadas. Ações típicas incluem eliminar lançamentos sem suporte, mover o serviço para trás de acesso controlado, garantir que o Confluence não seja executado com privilégio desnecessário, centralizar logs, estender a retenção, testar a restauração, manter um caminho de staging, atualizar contatos de fornecedores, esclarecer deveres do MSP, criar runbooks offline e revisar se o modelo de hospedagem escolhido ainda se adequa à capacidade organizacional.
Este pacote também é uma defesa contra o viés retrospectivo. Ele registra o que era conhecido em cada ponto de decisão. Em 2 de junho, os clientes sabiam da exploração ativa, mas ainda não tinham versões corrigidas listadas. Uma decisão de isolar imediatamente pode ser avaliada de forma diferente de uma decisão de esperar após 3 de junho. Bons registros preservam essa diferença.
Métricas que expõem, em vez de esconder, a assimetria
A métrica comum de 'tempo médio até o patch' começa quando um registro de vulnerabilidade entra em uma ferramenta e termina quando a instalação é relatada. Ela perde a parte deste incidente que carregava a maior responsabilidade. Um conjunto melhor incluiria:
- Tempo do relatório do fornecedor ao advisory:de um relatório externo validado a um aviso público acionável, com tempo separado para uma correção suportada.
- Tempo do aviso ao proprietário:da publicação autoritativa à confirmação pelos proprietários técnico e de negócio.
- Tempo de reconciliação de inventário:do aviso a uma lista defensável de todas as instâncias, nós e rotas.
- Tempo para contenção:do aviso ao isolamento ou mitigação efetiva de cada instância exposta conhecida.
- Tempo para remediação verificada:do aviso à prova independente de que o patrimônio responsável está corrigido, isolado ou removido.
- Tempo para decisão de comprometimento:do aviso a uma conclusão documentada com limites de evidência declarados.
- Tempo para restauração confiável:da contenção à aceitação do proprietário do negócio de um serviço seguro e utilizável.
- Patrimônio não contabilizado:implantações observadas externamente ou licenciadas que não mapeiam para um proprietário e estado verificado.
- Cobertura de evidências:a porção da janela de investigação para a qual existem logs e telemetria necessários.
- Desempenho de continuidade:interrupção real, tempo de ativação do fallback e funções essenciais sustentadas.
Essas medidas impedem que o lançamento rápido de um fornecedor mascare o fardo downstream e impedem que a instalação bem-sucedida de um cliente mascare evidências ausentes. Elas também ajudam na aquisição. Uma plataforma que pode ser atualizada de forma confiável em horas, com alertas legíveis por máquina e bom suporte de detecção, impõe um custo de ciclo de vida diferente de uma que requer trabalho personalizado de fim de semana.
As métricas não devem ser usadas para punir equipes por escolherem tempo de inatividade seguro. Se um alvo de desempenho recompensa a disponibilidade enquanto um RCE não autenticado permanece exposto, ele cria o comportamento errado. O isolamento planejado é um sucesso de controle quando a alternativa é o comprometimento não controlado. A questão de qualidade é se a interrupção foi antecipada, autorizada, comunicada e recuperada dentro de objetivos testados.
O que o registro prova, e o que não prova
O registro público apoia várias descobertas de alta confiança. O CVE-2022-26134 foi crítico, execução remota de código não autenticada no Confluence Server e Data Center. O Atlassian Cloud não foi afetado. A exploração ocorreu antes da divulgação pública. A Volexity notificou a Atlassian em 31 de maio. A Atlassian publicou um advisory em 2 de junho e versões corrigidas em 3 de junho. A CISA colocou a vulnerabilidade no KEV com prazo até 6 de junho. A exploração pública se expandiu rapidamente. A correção específica do incidente exigiu tempo de inatividade em vez de uma atualização contínua.
Um patch não pôde determinar se um cliente já havia sido comprometido.
Outras conclusões exigem contenção. O registro não fornece uma contagem mundial verificada de organizações vulneráveis, comprometimentos bem-sucedidos, perdas de dados ou interrupções. O número de 19.707 da Unit 42 descrevia servidores potencialmente afetados visíveis na internet, não vítimas confirmadas. As notificações do DIVD descreviam instâncias vulneráveis que identificou, não necessariamente empresas únicas ou hosts explorados. A GreyNoise mediu solicitações vistas por sua rede de sensores, não ataques contra todos os servidores Confluence.
O registro também não estabelece quando a Atlassian poderia razoavelmente ter descoberto a falha, por que escapou dos controles de pré-lançamento, se um teste anterior específico certamente a teria encontrado, ou que ações corretivas internas foram concluídas. O histórico de versão afetada não é um substituto para uma investigação de causa raiz. Nem o patching rápido do cliente prova que nenhum dado foi acessado antes do patch.
Oadvisory conjunto sobre vulnerabilidades rotineiramente exploradas em 2022confirma a relevância contínua da ameaça da vulnerabilidade. Não estabelece que cada instância não corrigida foi comprometida. A precisão sobre esses limites não é cautela por si só. Mantém a responsabilidade ligada à evidência em vez de aritmética de manchetes.
A conclusão de responsabilidade
A resposta de emergência da Atlassian ao CVE-2022-26134 foi materialmente forte nas dimensões que o público pode medir: confirmação rápida, um aviso imediato, linguagem de exploração ativa, lançamentos corrigidos em todos os ramos mantidos, mitigação provisória, um log de atualização, escopo do Cloud e orientação de suporte. A questão de fornecedor não resolvida mais importante está mais cedo no ciclo de vida. O registro público não explica a falha de controle preventivo ou fornece evidências suficientes para avaliar a profundidade da mudança de desenvolvimento seguro pós-incidente.
Os clientes não tinham controle sobre o defeito oculto, mas controlavam se um servidor de colaboração estava voltado para a internet, executava com privilégios excessivos, permanecia sem suporte, tinha proprietários atuais, produzia evidências duráveis e podia ser derrubado sem perder conhecimento operacional essencial. Esses controles determinavam se uma falha do fornecedor se tornava uma breve interrupção gerenciada, uma exposição improvável ou um comprometimento mais amplo.
Para as PMEs, o evento expõe um problema de design de mercado tanto quanto um interno. O patch estava disponível para todos os clientes, mas a capacidade de consumi-lo com segurança era desigual. Um ecossistema responsável de fornecedores e parceiros deve reduzir essa lacuna através de atualizações de baixo atrito, avisos acionáveis, mitigações suportadas, orientação de detecção e deveres claros do provedor de serviços. Um cliente responsável não deve comprar controle autogerenciado sem orçamentar para o trabalho de manutenção e incidente que esse controle acarreta.
O teste final é simples: depois que o patch foi enviado, quem pôde provar o que aconteceu em seguida? A Atlassian pôde provar o que corrigiu e quando lançou a correção. Apenas cada cliente pôde provar quais sistemas existiam, quando foram isolados, se os atacantes entraram, quais funções de negócio foram interrompidas e por que o serviço era seguro para restaurar. O risco persistiu nessa lacuna de evidências. Fechá-la é o verdadeiro trabalho da responsabilidade.

