摘要
- CVE-2022-26134 是一个针对自托管 Confluence Server 和 Confluence 数据中心 的严重 OGNL(实体-Graph Navigation Language)注入漏洞,允许未经认证的远程攻击者执行任意代码。Atlassian Cloud 未受影响。Volexity 在 2022 年 5 月 31 日向 Atlassian 报告了该零日漏洞,此前他们在美国阵亡将士纪念日周末调查了漏洞利用情况。Atlassian 于 6 月 2 日发布安全公告,并于 6 月 3 日列出了修复版本。
- 供应商的快速响应并未结束客户的风险暴露。CISA 于 6 月 2 日将该漏洞加入其已知被利用漏洞目录,并要求美国联邦民事机构立即阻断互联网流量,并在 6 月 6 日前更新或移除受影响产品。随后的互联网测量和应急响应报告显示,出现了广泛扫描、多种有效载荷、勒索软件尝试、挖矿、僵尸活动、内存植入和 Web shell 等情况。
- 运营负担是不对称的。Atlassian 可以集中生成修正后的软件,但每个客户必须识别所有实例和节点、确认版本、限制访问、备份数据、测试变更、接受紧急停机、应用修复或临时缓解措施、进行验证并恢复服务。Atlassian 的事件特定公告警告称,集群客户无法以滚动升级方式安装修复版本。因此,小型组织和单节点部署面临合作中断与持续暴露之间的直接选择。
- 打补丁是必要的,但不够充分。Volexity 观察到了内存植入、基于磁盘的 Web shell、数据库访问以及篡改日志的尝试。Atlassian 的常见问题解答称,公司无法确定客户实例是否已被入侵,并建议进行本地取证调查。成功的版本升级可能会关闭漏洞,但被盗信息、凭证、持久化或销毁的证据问题仍未解决。
- 问责应遵循控制能力。Atlassian 控制着安全产品开发、漏洞调查、向后移植的修复、发布质量、通知以及产品特定的检测指南。客户控制着资产清单、公开暴露面、运行权限、网络边界、日志记录、备份、变更执行、事件响应和连续性。公开记录支持对 Atlassian 快速从披露到修复响应的认可,但并不包含足够详细的公开根因审查,以评估为何这种广泛影响的缺陷较早未被发现。它也没有确定有多少暴露的系统被成功入侵。
- 持久的教训是,应衡量恢复可信服务的时间,而不仅仅是打补丁的时间。对于被积极利用的知识平台,关闭风险需要证明每个实例已被修复或隔离、暴露期已被调查、凭证和连接的系统已得到处理、连续性程序已起作用,并且恢复的平台有一位可问责的业务负责人。
一个漏洞,四个时钟
传统的漏洞时间线有两个端点:披露和补丁。这对于衡量供应商的响应很有用,但它将客户的工作压缩为一个想象中的瞬间。CVE-2022-26134 使这一缺失的时间显露出来。
第一个时钟是供应商时钟。它始于 Atlassian 获得足够信息以重现和评估缺陷之时。Volexity 称其于 5 月 31 日联系了 Atlassian。Atlassian 的安全公告记录了 6 月 2 日太平洋时间下午 1 点的发布,以及 6 月 3 日上午 10 点添加七个修复版本的更新。根据公开证据,Atlassian 确认了一个被积极利用的严重漏洞,分配了 CVE,传达了风险,准备了跨支持分支的向后移植修复,并迅速发布了修正。
第二个是遏制与变更时钟。它在每个客户处单独开始。警告必须传达给有权采取行动的人员。该人员需要一份 Confluence 部署、节点、版本、外部路由、所有者、依赖关系和支持状态的清单。随后,每个受影响的实例必须断开连接、受限、升级、缓解或移除。该时钟不会因补丁包可用而停止;只有当客户能够证明没有脆弱实例仍可访问时,它才会停止。
第三个是取证时钟。积极利用发生在公开披露之前。因此,客户必须询问攻击者是否在修复前已触及其系统。该调查依赖于保留的 Web、操作系统、端点、身份、网络和应用程序证据。它可能扩展至内存获取、文件系统比对、凭证审查和连接系统的检查。补丁改变了未来的可利用性,但无法重写安装前的时间段。
第四个是连续性时钟。Confluence 通常保存着操作流程、项目记录、内部知识、事件手册和决策历史。限制或关闭它可能会影响工作,即使数据未遭破坏。恢复不仅需要重启服务:用户需要确信平台可用、完整且可安全使用。如果 wiki 中包含恢复 wiki 所需的操作指南,安全响应可能暴露出循环依赖关系。
这些时钟分配了不同的责任。供应商能够缩短每个人获得可操作修复的时间,但无法清点客户的影子实例、安排其维护、保存其日志或决定哪个业务流程可以承受中断。客户可以隔离并加固其部署,但无法检查供应商的私有开发记录或以相同速度独立创建受支持的补丁。当根据各方能够控制的时钟对其进行评估时,问责制变得更为清晰。
利用与紧急补丁时间线
这一过程有异常详尽的记录,但证据存在局限性。Volexity 的报告描述了两台客户服务器及其直接事件响应。Atlassian 的公告记录了产品范围和更新时间。CISA 的目录记录了一个联邦修复截止日期。互联网遥测数据描述了扫描或潜在暴露系统的情况,而非经过验证的全球受害者数量。
| 日期 | 事件 | 问责意义 |
|---|---|---|
| 2022 年 5 月 26 日 | Unit 42 后来报告称,与此活动相关的 IP 地址最早从该日起就进行了历史扫描。 | 这是威胁遥测数据,并非证明每次扫描都利用了 CVE-2022-26134,或 Atlassian 当时已知晓该漏洞。 |
| 美国阵亡将士纪念日周末,5 月 28 日至 30 日 | Volexity 调查了两台面向互联网的 Confluence 服务器上的可疑活动,包括写入磁盘的 JSP Web shell。 | 利用发生在公开披露和客户能够获得供应商修复之前。 |
| 5 月 31 日 | Volexity 称其向 Atlassian 报告了已重现的零日漏洞。 | 供应商响应时钟变得可度量。 |
| 6 月 2 日 太平洋夏令时下午 1 点 | Atlassian 发布了关于未经认证远程代码执行被积极利用的严重公告。在最初发布时,尚未列出修复版本。 | 客户在完整的升级路径可用之前收到了紧急风险决策。限制或关闭是合理的即时控制手段。 |
| 6 月 2 日 | CISA 将 CVE-2022-26134 添加到已知被利用漏洞目录,截止日期为 6 月 6 日。 | 美国联邦民事机构必须立即阻断互联网流量,并更新或移除受影响产品。该截止日期也为其他组织提供了强有力的优先级信号。 |
| 6 月 3 日 太平洋夏令时上午 8 点 | Atlassian 更新了缓解信息,提供了替换 JAR 和 class 文件。 | 无法完成完整升级的客户获得了一个临时的产品特定选项,但仍需正确更改每个相关节点。 |
| 6 月 3 日 太平洋夏令时上午 10 点 | Atlassian 添加了修复版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1。CISA 发布了相应的升级警报。 | 受支持的修复路径在多个维护发布分支中变得可用。 |
| 6 月 3 日 太平洋夏令时下午 4 点 | Atlassian 澄清,客户无法使用滚动升级来达到所列的修复版本。 | 紧急安全修复也成为显式的可用性事件,包括对集群部署。 |
| 6 月 3 日 | Cisco Talos 报告了公开的概念验证,并警告利用可能增加。Unit 42 测量到 19,707 台面向互联网的 Confluence 服务器,其认为可能受影响,包括 1,251 个终止生命周期的版本。 | 公开的可利用性和推断的大规模攻击面大幅缩短了任何可辩护的延迟。这些数字是暴露估计值,而非确认的脆弱组织或入侵事件。 |
| 6 月 4 日 | 荷兰漏洞披露研究所(DIVD)表示,其开始通知约 15,000 个脆弱实例的运营者。 | 外部通知帮助了那些尚未自行发现暴露面的所有者,并揭示了资产清查问题的规模。 |
| 6 月 6 日 | CISA 的联邦截止日期到来。GreyNoise 报告,截至 UTC 时间晚上 7 点,有超过 850 个唯一源 IP 地址尝试利用。 | 截止日期时,利用尝试已变得广泛而多样;等待定向兴趣的证据已不再是一个理性的控制策略。 |
| 6 月 6 日至 7 日 | DIVD 记录,6 月 6 日约有 1,150 条额外通知,6 月 7 日超过 800 条。 | 在补丁公开后,发现仍在继续。在没有关于重新扫描和去重的更多信息的情况下,这些数字不应相加作为唯一受害者数量。 |
| 6 月 10 日 | Atlassian 扩展了针对 Confluence 6.0.0 及更高版本的缓解部分。 | 在最初的紧急情况之后,指南继续演变,尤其是对于那些不在直接受支持升级路径上的组织。 |
| 6 月 16 日 | Sophos 报告了自动化利用,投放僵尸网络、挖矿程序、Cobalt Strike、Web shell 和勒索软件载荷;两起观察到的 Windows 事件涉及试图部署 Cerber 勒索软件。 | 该漏洞已从最初观察到的行为者和技术,演变为商品化和以金钱为动机的活动。 |
| 2023 年 8 月 | 一份由 CISA 主导的联合公告将 CVE-2022-26134 列为 2022 年最常被利用的 12 个漏洞之一。 | 该问题不仅是短暂的披露峰值,它成为年度持久利用记录的一部分。 |
NVD 条目给出了该问题的 CVSS 3.1 基础评分为 9.8,并确定了受影响的范围为 1.3.0 之后的版本直至各个修复分支。它还复现了 CISA 的目录操作和日期。这些版本范围的广度表明许多发布线需要修正。它本身并不能确定缺陷是何时引入的、何时首次变得可实际利用、任何人何时首次发现它,或者 Atlassian 是否事先知情。
这一区别对于公平问责至关重要。漫长的受影响版本范围可能表明巨大的修复负担和深厚的产品谱系。它并不是故意隐瞒或某项特定安全开发失败的证据。这些判断需要公共记录未提供的证据。
CVE-2022-26134 允许了什么
Atlassian 将 CVE-2022-26134 描述为一个 OGNL 注入漏洞,允许未经认证的用户在 Confluence Server 或 数据中心 实例上执行任意代码。实际上,攻击者控制的 HTTP 请求输入可以被当作表达式求值,并用于在 Confluence 进程的安全上下文中执行命令。不需要有效的用户账户、窃取的会话或员工的交互。
因此,严重性部分取决于部署情况。互联网可达性使实例能够被广泛扫描发现。运行账户决定了命令在主机上能做什么。网络访问和存储的凭证决定了横向移动的可能性。Confluence 及其数据库中的信息决定了机密性影响。监控和日志保留决定了利用是否能在日后得到证明。
Volexity 的事件响应分析说明了这一链条。其响应人员发现,被入侵的 Confluence 进程以 root 身份运行,这赋予了命令完整的主机权限。他们识别出一个内存中的 BEHINDER 植入、一个 China Chopper Web shell、另一个上传 shell、侦察活动、对本地 Confluence 数据库表的访问,以及试图修改 Web 日志的行为。Volexity 明确建议不要以 root 身份运行 Confluence。产品漏洞提供了入口;客户侧的权限和架构可能扩大进入的含义。
内存中的组件对结案证据尤为重要。仅搜索新创建文件的响应人员可能会错过驻留在内存中的植入。重启服务可能移除该组件,但无法移除写入磁盘的第二个 Web shell、反向数据外泄,或证明凭证仍然保密。Volexity 还指出,用于与植入交互的请求孤立来看可能类似于正常流量。检测需要上下文和一系列证据,而非单一的通用签名。
独立观察显示,利用群体迅速多样化。GreyNoise看到了用于侦察、反弹 shell、僵尸网络、挖矿、创建管理员用户尝试、破坏性命令和混淆的载荷。Cisco Talos报告了持续利用并发布了网络检测覆盖。Sophos观察到了自动化后续载荷和勒索软件尝试。Unit 42在其客户遥测中报告了与 Cerber 勒索软件尝试相关的成功利用。
这些观察不应被归结为一次统一的攻击。Volexity 最初观察的行为者、自动化挖矿运营者、僵尸网络分发者和勒索软件运营者有着不同的目标。一个未发现 Volexity 所列 IP 地址的组织仍可能已被其他人攻击。封锁已知源地址作为一种临时阻碍措施有用,但不能替代修复或调查。
Atlassian 的响应很快,但产品记录不完整
从 Volexity 报告的 5 月 31 日通知算起,Atlassian 大约在两天内发布了公告,并于次日发布了修复版本。该公告保留了更新历史,指明了受影响产品,将 Cloud 与自托管部署区分开来,列出了修复版本,提供了临时文件替换步骤,警告了滚动升级限制,并引导客户使用最新的长期支持版本。这些都是紧急响应中的实质优点。
速度很重要,因为供应商分析的每一小时,客户都缺乏受支持的修正。发布七个版本不仅仅是更改一行源代码。供应商必须确定缺陷、测试修正、确定受影响的分支、构建并签名制品、准备发布信息、协调支持,并避免造成第二次中断或漏洞。公开记录支持结论:Atlassian 将此视为紧急情况处理。
Atlassian 还发布了专门的CVE-2022-26134 常见问题解答。它澄清了 Cloud 不受影响,SSO 不能保护自托管实例(因为利用未经认证),非面向互联网的系统仍应升级,并且只有修复版本才能确保保护。它建议客户将文件系统的工件与备份进行比较,并让本地安全团队或取证专家介入。该指南正确地将漏洞修复与入侵评估区分开来。
通知取决于渠道。常见问题解答称,Atlassian 向相关产品警报邮件列表发送了严重公告。该公司当前的安全公告发布政策同样描述了公开发布和邮件列表通知。邮件列表可以大规模分发信息,但无法保证当前运营者接收、确认并对消息采取行动。客户记录可能保留着购买者或前任管理员。托管服务责任可能模糊不清。公告是客户治理的输入,而非修复发生的证据。
然而,关于预防的公开细节较少。Atlassian 的2022 财年安全事件报告将 CVE-2022-26134 响应的协调分类为一级事件,并注意到面向互联网实例的积极利用。公告和公开问题描述了漏洞和修复,但并未提供相关代码路径的完整根因分析,解释为何现有开发或测试控制未能检测到它,确定之后所做的控制变更,或发布这些变更的独立验证。
这一缺失并不证明未进行内部审查,而是意味着外部利益相关者无法以与评估补丁响应相同的精度来评估预防性控制响应。一份完善的事件后记录至少应区分五个问题:什么样的代码行为产生了注入路径;它何时进入维护分支;哪些审查或测试本应检测到它;为何它们未能做到;以及现在有哪些可度量变更来测试类似的表达式语言路径。没有这些说明,公众可以比产品学习深度更有信心地评估反应速度。
因此,负责任的发现是混合的。Atlassian 因快速分流、透明的公告更新、广泛受支持的修复和明确的客户指导而值得基于证据的肯定。公开记录不足以判断底层安全开发控制是否合理、存在不足或在事件后得到实质性改进。发现后的速度是重要的问责证据,但不能替代对预防的解释。
发布的补丁不等于已修复的客户资产
软件供应商通常将修复标记为已发布。客户通常在安装成功后关闭工单。这两件事都不能证明风险已在整个组织中结束。
首先,客户必须找到分母,这包括生产、灾难恢复、预生产、测试、开发、迁移、培训、被收购公司、承包商管理以及临时停止的实例。它包括每个 数据中心 节点和每条反向代理路由。DIVD 案例记录具有启发性,因为在公告和补丁发布后,通知仍在继续。外部研究人员仍能识别出所有者尚未修复或可能并不知晓已暴露的脆弱系统。
第二,客户必须确定版本和支持状态。Atlassian 的影响范围横跨受支持和旧版本。Unit 42 估计 6 月 3 日有 1,251 台面向互联网的已终止支持服务器,这代表了一个明显的治理问题。不受支持的产品可能没有直接的低风险升级路径。其操作系统、Java 运行时、数据库、应用程序或自定义主题也可能已陈旧。看似一个补丁,可能变成多组件迁移。
第三,安装必须覆盖所有相关组件。临时缓解措施要求客户停止 Confluence,替换特定的 JAR 或 class 文件,保留正确的所有权和权限,重启服务,并在所有集群节点上重复此过程。安装目录中残留的旧 JAR 副本可能使预期的变更失效。因此,操作证据必须包含制品的完整性和节点覆盖率,而不仅仅是管理员声称已尝试变通方案。
第四,必须重新评估连接性。一台被认为在内部的服务器可能仍可通过 VPN、合作伙伴路由、远程访问网关、应用程序链接、云负载均衡器、被遗忘的 DNS 记录或临时故障排查规则被访问。Atlassian 的常见问题解答审慎地指出,缺乏通用互联网访问可阻止源自互联网的攻击,但仍建议升级,因为访问路径各不相同。“内部”是一个需要检验的假设,而非永久的资产属性。
第五,修复需要验证。NIST 的企业补丁管理规划指南将过程定义为包括识别、优先级排序、获取、安装和验证更新。验证应尽可能独立于变更操作:一份全新的经过认证的资产清单、软件包或文件哈希检查、应用程序健康检查、不会损害生产环境的漏洞测试,以及网络确认旧路由在验证完成前保持关闭。
关键指标不是已发现实例的修补百分比,而是可问责资产中处于非脆弱、已隔离或已移除状态的百分比。如果资产清单不完整,100% 修补的仪表盘可能在数学上正确,但在操作上错误。分母本身需要保证。
补丁可能阻止进入,但未建立信任
Atlassian 的常见问题解答明确指出了核心取证限制:Atlassian 无法确认单个客户实例是否已被入侵。它建议由本地安全人员或专业公司介入,并警告攻击者可能更改系统、审计或访问日志。这种责任分配并非推诿;决定性证据驻留在客户环境中。
因此,有效的响应应将两个工作流分开。修复工作流通过隔离实例、安装修复版本或受支持的缓解措施并验证结果来防止新的利用。事件工作流调查历史暴露窗口并处理所有后果。并行运行它们避免了必须先达到取证完美才能进行遏制的危险假设,同时保留了足够的证据以便得出后续结论。
调查窗口不能从 6 月 2 日开始。Volexity 在前一个周末就已观察到利用行为,Unit 42 发现相关基础设施的扫描最早可追溯至 5 月 26 日。谨慎的组织会从其可获得的最早可信证据开始,并在指标、缺失日志或异常行为证明时向前追溯。它不会将全球研究日期当作自身被入侵的证据。
证据收集需要与观察到的技术相匹配。相关来源包括反向代理和 Web 访问日志、Confluence 应用程序日志、认证和管理事件、终端遥测、进程创建、可行的内存数据、文件完整性、计划任务、服务变更、出站 DNS 和网络流量、云流日志、身份提供方事件、数据库访问以及特权凭证使用。远程或受保护的日志记录尤其有价值,因为能执行命令的攻击者可能更改本地文件。
CISA 的中小企业日志记录指南建议保护日志免受未经授权的访问或删除,根据策略保留日志,并在技术、通信、法律和连续性方面分配事件角色。CVE-2022-26134 显示了为何这些是相互关联的控制措施。日志保留不仅是一项安全运营费用,它决定了管理层日后能否区分“未发现证据”和“未保留证据”。
如果发现入侵或无法合理排除,从可信介质重建可能比清理未知主机更安全。Confluence 服务可使用的凭证、存储在配置中的凭证、用于数据库的凭证、管理员持有的凭证或在 wiki 内容中暴露的凭证可能需要轮换。连接的系统可能需要审查。备份必须检查完整性以及是否保留了被入侵的状态。数据暴露分析必须考虑实例包含的内容以及服务账户可以访问的范围。
这就是为什么“24 小时内打上补丁”和“24 小时内恢复”是不同的声明。前者可以通过软件状态证明,后者则需要关于攻击者活动、数据完整性、身份、连接系统和业务运营的证据。一个组织可以安全离线、脆弱在线、已打补丁但不可信,或已恢复且可信。负责任的仪表板应保留这些状态,而不是将其简化为红色和绿色。
紧急修补也是一个可用性事件
针对该事件的 Atlassian 公告指出,运行集群的客户无法在不中断服务的情况下升级到修复版本。这一警告推翻了那种令人安心的假设,即 数据中心 架构总能将关键更新转化为无缝的滚动变更。更安全的软件状态需要中断。
Atlassian 的通用滚动升级文档解释称,零停机资格取决于源版本和目标版本,需要多节点 数据中心 集群,并且活动节点必须在另一节点离线时有足够容量。它建议进行备份、升级前检查和搭建预生产环境。这些都是良好实践,但零日漏洞压缩了执行这些操作的时间。
单节点客户没有第二个 Confluence 节点来承载流量。有些可以在用户面前放置静态维护页面或只读导出;其他则没有准备好的替代方案。建立了自动化、演练过升级、测试了备份并记录了依赖关系的组织可以更快地行动,不确定性更小。而将维护视为偶然技术工作的组织则不得不在紧急情况下摸索流程。
选择不是抽象的“安全还是可用性”。持续暴露同样威胁可用性,因为攻击者正在部署破坏性命令、僵尸软件、挖矿程序和勒索软件。计划性停机带来有限且受控的中断。未遏制的入侵可能造成更长且更不可预测的中断。控制目标是选择通往可信服务破坏性最小的路径,而不是不惜一切代价保持状态页面为绿色。
Atlassian 的升级中心和 数据中心 指南强调备份、兼容性、配置变更和升级后检查。备份和恢复文档也说明了为何“做一次备份”并不是完整的连续性控制。不同的备份方法有不同的目的;备份作业可能失败;恢复可能覆盖当前数据;重启可能中断某项任务。有用的恢复计划应测试恢复过程,而不是只计算文件数量。
对于知识平台而言,连续性设计应包括一套离线的核心操作集合:事件联系人、身份和基础设施恢复步骤、网络图、供应商账户详情、决策权限、关键客户流程以及恢复 Confluence 本身的说明。该副本必须受到保护、保持最新,并且无需依赖受影响的身份或应用程序路径即可访问。无需导出每个页面;保存通过隔离进行运营所需的一小部分内容即可。
为何中小企业承担不成比例的连续性负担
漏洞在技术上对运行相同受影响版本的跨国公司和中小企业是相同的,但吸收响应的能力却不同。
大型企业可能拥有全天候安全运营中心、配置数据库、预生产集群、基础设施自动化、保留的事件响应公司、应用程序负责人以及有权接受停机的高管。它仍可能失败,但具备专门的能力。较小的组织可能只有一名管理员、一个外包提供商、一个生产节点、有限的日志保留、没有测试环境,并且 Confluence 实例主要在出现问题时才进行维护。
这种差异造成了一个响应队列。同一个人可能需要阅读公告、验证真实性、联系管理层、找到服务器、进行备份、测试升级、通知用户、应用补丁、排查应用程序问题、检查日志、与服务商沟通并恢复访问。虽然每一步本身都合理,但其顺序可能超过公开利用的时间窗口。补丁时间不对称在某种程度上是专业知识和协调能力的不对称。
NCSC 中小型企业响应与恢复指南围绕准备、识别、解决、报告和学习而构建。它在此的相关性很实际:准备将决策移出危机。中小企业可以预先授权针对严重被利用漏洞的互联网隔离,保持供应商联系信息更新,在事件发生前确定取证服务商,维护离线操作手册,并定义谁可以接受临时中断。这些控制措施都不需要企业级规模。
NIST 的补丁实践指南直接承认了结构性冲突:打补丁需要密集资源,并可能降低系统可用性。它将资产清点、紧急缓解、隔离、测试、跟踪和验证作为同一能力的组成部分。对中小企业而言,这意味着一个适度但完整的设计,而非微型企业级方案。
一套可行的中小企业控制措施应包括:
- 一个可问责的登记表。记录实例 URL、部署位置、产品及版本、许可证和支持状态、管理员、业务负责人、公共路由、认证依赖、数据库、备份方法和供应商联系信息。在服务变更时进行审查。
- 一个预先批准的紧急阈值。在暴露实例上存在积极利用和未经认证的远程代码执行,应授权立即限制或关闭,无需等待常规变更会议。
- 一条经测试的维护路径。准备好安装介质、配置记录、应用兼容性信息、备份说明和简单的验证检查表。至少演练一次升级和恢复。
- 一个备用知识渠道。保留事件响应和基本服务交付所需的少量文件的受保护离线或单独托管副本。
- 一份包含时间指标的供应商合同。如果由托管服务商运营服务,应明确谁监控公告、谁可以断开连接、响应和通知时间、证据保留、非工作时间覆盖范围以及谁为紧急工作付费。
- 远程证据。将重要日志从应用程序主机发送出去,并保留足够的历史记录以调查披露前的窗口。明确谁可以检索它们。
- 一个重启决策。指定可以宣布服务可信的人员,并定义所需的证据:修复版本、所有节点已覆盖、健康检查通过、暴露已审查、入侵评估已完成至商定水平,并在必要时处理了凭证。
当前的NCSC 漏洞管理指南面向中小企业及大型组织。它强调默认更新、对积极利用的响应、资产识别、对不更新决策的高层负责以及验证。尽管在 Confluence 事件之后更新,但它抓住了持久的治理模式:技术团队可以就风险提供建议,但保持暴露的决策是业务决策,应相应地可见。
中小企业的局限性不应成为全面的借口。无论人员规模如何,一个面向互联网、不受支持且以过高权限运行的 wiki 都是一种可避免的风险。但在分配补救措施时,问责制应认可能力。供应商可以通过清晰的版本矩阵、机器可读的公告、经过验证的制品哈希、简洁的隔离说明、受支持的热修复、检测包以及面向服务商的通信来减轻客户负担。市场和托管服务合作伙伴可以明确应用兼容性和升级责任。更好的上游设计能创造更平等的下游安全性。
云依赖,而云环境未受影响
CVE-2022-26134 未影响 Atlassian Cloud。公告和常见问题解答均表示,托管的 Cloud 实例受到保护,无需客户采取行动。这一事实必须保持核心地位;将该事件描述为一次泛泛的“Confluence 入侵”会错误地包含 Atlassian 称其不受影响的该服务。
出于两个原因,该事件仍应纳入云服务依赖性分析。首先,Atlassian 是一家全球协作平台提供商,其产品涵盖托管和自管交付。尽管运营控制不同,组织依赖相同的供应商生态系统、工作流、应用市场、身份关联和知识实践。其次,Cloud 与自管之间的选择本身就是一种控制权分配。
在 Atlassian Cloud 中,供应商可以集中为托管资产打补丁,客户无需安排产品版本升级。客户放弃部分基础设施控制权以换取这种运营集中化。在 Server 和 数据中心 中,客户控制托管、网络暴露面、维护时机、日志记录和许多集成,但也承担执行负担。“责任共担”并非一个固定的比例,它随服务模式变化。
Atlassian 当前的Confluence 安全概览指出 数据中心 的安全是共担的,并指引客户查看安全清单。这在大方向上是正确的,但只有将其转化为明确的行为和证据时,该表述才有用。供应商修复产品代码,客户应用修复并保护部署。供应商提供准确的入侵指导,客户保留并分析本地证据。供应商无法安全地承诺客户服务器是干净的;客户也无法独立证明供应商的开发控制已防止再次发生。
迁移到托管服务可以减少紧急补丁的执行,但并非万能答案。监管、数据驻留、集成、性能、定制或控制要求可能支持自管。云也会带来集中化和供应商可用性依赖。治理问题不是哪种模式在道义上更优,而是组织是否为其所选模式配套的责任提供了资金。
责任应跟随独特的控制和证据
一个问责模型应避免两种易犯的错误。第一种是将一切归咎于供应商,因为缺陷在其代码中。第二种是将公告后的一切归咎于客户,因为补丁已经存在。两者都抹去了重要的控制措施。
| 控制问题 | Atlassian 的责任 | 客户的责任 | 应存在的证据 |
|---|---|---|---|
| 缺陷能否被更早预防或发现? | 安全设计、代码审查、测试、依赖和框架专业知识、漏洞接收,以及从类似注入缺陷中学习。 | 采购尽职调查和配置无法修复隐藏的产品缺陷。 | 供应商根因审查、测试补充、控制负责人和验证结果。 |
| 警告是否可执行? | 准确的范围、严重性、受影响和已修复版本、安全的制品、更新历史、缓解措施、交付渠道和支持能力。 | 维护当前的联系方式,监控公告和已知被利用漏洞目录信号,确认收到,并建立归口的紧急记录。 | 公告时间戳、消息传递、确认、负责人分配和升级。 |
| 是否找到每个部署? | 提供可发现的产品标识符和机器可读的受影响版本数据。 | 维护完整的服务、软件、节点、路由、负责人和支持清单。 | 来自配置、网络、云、许可、DNS 和外部发现来源的对账清单。 |
| 暴露是否被遏制? | 发布准确的限制和缓解选项。 | 根据风险阻断互联网路由、隔离、禁用、缓解、升级或移除。 | 防火墙和代理变更、服务状态、变更审批、逐节点时间戳。 |
| 修复是否安全且完整? | 构建、测试、签名、向后移植、记录和支持修正后的版本。 | 备份,在可行时测试,在所有节点上安装,保留配置,并独立验证。 | 制品哈希、部署日志、版本输出、健康检查、漏洞验证和异常登记。 |
| 入侵是否被评估? | 发布产品特定的行为、指标、日志位置、已知限制和支持升级。 | 保留本地证据,定义回溯期,进行威胁狩猎,界定连接系统的范围,轮换暴露的凭证,在必要时重建,并履行报告义务。 | 证据清单、时间源、查询结果、取证结论、凭证操作和法律决定。 |
| 关键工作是否继续? | 使应急程序简洁,并尽量减少可避免的升级复杂性。 | 维护经测试的替代方案、离线操作手册、通信、恢复目标和恢复权限。 | 演练记录、回退启用、中断时长、恢复测试和业务负责人验收。 |
| 复发是否减少? | 发布控制改进并监控相关产品路径。 | 移除不受支持的实例,减少公开暴露面和权限,改进日志记录,并为维护提供资金。 | 包含负责人、截止日期、测试和独立审查的修复计划。 |
这种分配也解释了为何客户需要供应商提供证据。一句“立即升级”的公告足以触发行动,但不足以评估产品治理。企业买家和公共机构可以合理地要求提供机密或公开的事件后报告、安全开发变更、独立保证,以及从验证报告到受支持修复版本发布的时间。较小的买家很少单独拥有议价能力,因此标准的供应商透明度具有分配价值。
反过来,供应商在开始支持或事件分析时也需要来自客户的证据。确切的版本、节点数、拓扑结构、日志、时间戳、变更、插件和观察到的指标可以区分产品缺陷和部署特定影响。一句模糊的“我们已打补丁”无法让任何一方重构风险。
责任可以共担而不被稀释。即使客户以 root 身份运行 Confluence,产品缺陷仍然是 Atlassian 的责任。即使攻击者通过 Atlassian 的代码进入,root 权限仍然是客户的责任。缓慢打补丁不会消除缺陷;快速修复不会消除不安全的暴露。每个控制措施都可能促成同一损失,但仍可拥有不同的负责人。
实现可信恢复服务的证据包
对董事会和中小企业所有者而言,最有用的产出不是一份庞大的技术报告,而是一个紧凑的证据包,能让带着怀疑态度的读者追溯从警报到关闭的决策过程。
证据包应以范围声明开头,包含 CVE-2022-26134、受影响产品系列、所使用的权威公告版本、组织首次收到通知的日期以及响应负责人。列出所有已知实例和节点,包括非生产和已停止的系统,并解释如何对 DNS、负载均衡器、云账户、许可、外部扫描、配置记录和供应商数据进行对账。
接下来是遏制记录。对于每个实例,显示互联网流量是否以及何时被阻断、服务是否停止、访问是否受限、临时缓解措施是否安装、修复版本是否部署或系统是否移除。记录谁授权了任何持续运行时段以及存在哪些补偿控制。例外情况需有到期时间和升级路径。
变更记录捕获变更前版本、目标版本、备份结果、兼容性检查、维护开始和结束时间、制品来源、每个变更的节点、重新应用的配置、错误、回退决策以及变更后健康检查。由于 Atlassian 警告修复版本不符合滚动升级条件,记录还应显示计划的中断以及告知用户的内容。
验证记录应来自独立于操作员记忆的方法,可包括当前版本输出、软件包标识、提供的校验和、经过认证的软件清单、安全漏洞验证、外部可达性测试,以及确认没有旧节点或镜像重新上线。批准关闭的人应能查看分母和结果。
入侵评估陈述调查时期、证据来源、保留缺口、时钟同步、测试的指标和行为、发现以及置信度。它区分“未发现利用证据”和“未被入侵”。如果日志在可能的攻击窗口之后才开始,该局限性是管理事实,而非需要隐藏的脚注。若发现入侵,证据包应链接到遏制、凭证轮换、连接系统审查、通知、重建和恢复决策。
连续性记录指明哪些业务功能失去了访问权,启动了何种替代方案,关键流程是否仍然可用,实际停机时间,恢复后所需的数据核对,以及业务负责人的认可。如果员工无法获取操作所需的信息,仅凭技术运行时间是不够的。
最后,复发计划分配带日期的改进措施。典型行动包括淘汰不受支持的版本、将服务置于受控访问之后、确保 Confluence 不以非必要权限运行、集中化日志、延长保留期、测试恢复、维护预生产路径、更新供应商联系信息、明确托管服务商职责、创建离线操作手册,并审查所选托管模式是否仍符合组织能力。
该证据包也是防范后见之明偏见的一种手段。它记录了每个决策点所知的情况。6 月 2 日,客户知道有积极利用,但尚未得到列出的修复版本。立即隔离的决策可以与 6 月 3 日之后等待的决策区别评估。良好的记录保留了这种差异。
揭示而非掩盖不对称性的指标
常见的“平均修补时间”指标始于漏洞记录进入工具,止于报告安装完成。它遗漏了这一事件中问责分量最重的部分。
一套更好的指标应包括:
- 供应商报告至公告时间:从经验证的外部报告到可执行的公开警告,以及到受支持修复的单独时间。
- 通知至负责人时间:从权威发布到技术和业务负责人确认。
- 资产对账时间:从通知到一份经得起推敲的所有实例、节点和路由列表。
- 遏制时间:从通知到对所有已知暴露实例进行隔离或有效缓解。
- 经验证的修复时间:从通知到独立证明可问责资产已被修复、隔离或移除。
- 入侵判定时间:从通知到一份记录在案的、带有明确证据局限性的结论。
- 可信恢复时间:从遏制到业务负责人接受安全可用的服务。
- 未归责资产:外部观察到的或许可的部署,无法映射到某个负责人和验证状态。
- 证据覆盖率:所需日志和遥测数据存在的调查窗口比例。
- 连续性表现:实际中断、回退激活时间和维持的关键功能。
这些指标可防止供应商的快速发布掩盖下游负担,并防止客户成功安装掩盖证据缺失。它们还有助于采购。一个能在数小时内可靠升级、具备机器可读警报和良好检测支持的平台,其生命周期成本不同于需要定制化周末工作的平台。
这些指标不应用于惩罚选择安全停机的团队。如果绩效目标奖励可用性而忽略尚未修复的未认证远程代码执行漏洞,就会产生错误的行为。当替代方案是失控的入侵时,计划性隔离是控制上的成功。质量问题是:中断是否被预见、授权、沟通并在经过测试的目标内恢复。
记录证明了什么,以及未证明什么
公开记录支持若干高度可信的发现。CVE-2022-26134 是 Confluence Server 和 数据中心 中一个严重的、未认证的远程代码执行漏洞。Atlassian Cloud 未受影响。利用发生在公开披露之前。Volexity 于 5 月 31 日通知了 Atlassian。Atlassian 于 6 月 2 日发布公告,6 月 3 日发布修复版本。CISA 将该漏洞列入已知被利用漏洞目录,截止日期为 6 月 6 日。公开利用迅速扩大。针对该事件的修复需要停机而非滚动升级。补丁无法确定客户是否已被入侵。
其他结论需要克制。该记录并未提供经过验证的全球脆弱组织、成功入侵、数据丢失或中断数量。Unit 42 的 19,707 个数字描述的是可能受影响的面向互联网服务器,而非确认的受害者。DIVD 的通知描述的是其识别的脆弱实例,不一定是唯一公司或已被利用的主机。GreyNoise 测量的是其传感器网络看到的请求,而非针对每个 Confluence 服务器的攻击。
该记录也未确定 Atlassian 何时可能合理首次发现该漏洞、它为何避开了发布前控制、某次特定的早期测试是否一定能发现它,或者完成了哪些内部纠正措施。受影响版本历史不能替代根因调查。快速的客户修补也不能证明在打补丁之前没有数据被访问。
关于 2022 年常被利用漏洞的联合公告确认了该漏洞持续的威胁相关性,但并未确定每个未打补丁的实例都已被入侵。对这些局限的精确描述并非为了谨慎本身,而是将问责置于证据而非标题算术之上。
问责发现
Atlassian 对 CVE-2022-26134 的紧急响应在公众可衡量的维度上是实质强劲的:快速确认、及时的警告、积极利用的表述、跨维护分支的修复版本、临时缓解措施、更新日志、Cloud 范围的说明和支持指南。最重要的未解供应商问题存在于生命周期的更早阶段。公开记录未解释预防性控制的失败,也未提供足够证据来评估事件后安全开发变革的深度。
客户无法控制隐藏的缺陷,但他们可以控制协作服务器是否面向互联网、是否以过高权限运行、是否持续不受支持、是否有当前负责人、是否能产生持久证据,以及是否能被关闭而不丢失关键运营知识。这些控制决定了供应商的缺陷是变成一次短暂受控的中断、一次无法证明的暴露,还是一次更广泛的入侵。
对中小企业而言,该事件暴露了市场设计问题以及内部问题。补丁对所有客户可用,但安全消费的能力却不平等。负责任的供应商和合作伙伴生态系统应通过低摩擦升级、可操作的通知、受支持的缓解措施、检测指导和明确的服务商职责来缩小这一差距。负责任的客户不应在不将维护和事件处理工作纳入预算的情况下购买自管控制权。
最终的检验很简单:在补丁发布后,谁能证明接下来发生了什么?Atlassian 能证明它修复了什么以及何时发布了修正。唯有每个客户能证明哪些系统存在、它们何时被隔离、攻击者是否已进入、哪些业务功能被中断,以及为何服务恢复是安全的。风险持续存在于这一证据空白中。填补它才是问责的真正工作。
排版
排版是安排字体以使书面语言清晰易读、具有视觉吸引力的艺术和技巧。它涉及选择字体、字号、行长、行间距和字间距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷术。
- 关键元素包括字体选择、字距调整、字距和行距。
- 良好的排版能增强可读性,并在设计中传达情绪或基调。

