Atlassian CISO: ‘Akan selalu ada beberapa contoh perangkat lunak di internet yang kedaluwarsa dan dieksploitasi’

  • Whatsapp

Bumiayu.id Beberapa pelanggan Atlassian masih menjadi sasaran cryptominers melalui kerentanan Confluence.

Ludwig mengatakan kerentanan awalnya dilaporkan melalui program karunia bug Atlassian pada tanggal 30 Juni oleh Benny Jacob dan bahwa tim keamanan mereka dengan cepat menyadari itu adalah masalah kritis. Patch tersedia pada 15 Agustus dan buletin keamanan dikirim pada 25 Agustus. 

Mereka juga menyerahkan kerentanan dan patch kepada NIST dan organisasi pemerintah lainnya agar dapat disebarluaskan lebih lanjut. Informasi tersebut dikirim ke mitra saluran dan manajer akun Atlassian sehingga email ke pelanggan dapat dikirim. 

Atlassian CISO: 'Akan selalu ada beberapa contoh perangkat lunak di internet yang kedaluwarsa dan dieksploitasi'

Atlassian memiliki contoh pengujian Confluence sendiri dan mulai melihat bukti eksploitasi otomatis sekitar 1 September. Ludwig mengatakan bot menyelidiki layanan dan mencoba mengeksploitasinya menggunakan kerentanan. 

“Sebagai bagian dari proses normal kami mengevaluasi kerentanan, kami kembali melalui log lingkungan kami dan infrastruktur kami dan melihat apakah ada eksploitasi bersejarah. Dalam hal ini, kami tidak melihat eksploitasi apa pun sebelum penasihat keamanan kami keluar. , tapi kami melihatnya mulai sekitar 1 September,” jelas Ludwig. 

“Pada 3 September, setelah mengkonfirmasi itu, dan juga, setelah mendengar bahwa ada banyak orang yang belum menambal, kami mengeluarkan pembaruan untuk penasehat kami yang mengatakan bahwa kami telah melihat bukti eksploitasi aktif dan juga mendorong orang untuk menambal. “

Ludwig mengatakan Atlassian mengirim pemberitahuan kedua kepada pelanggan setelah perusahaan keamanan dan lembaga pemerintah, seperti US Cybercom , mulai mengirimkan pemberitahuan tentang masalah tersebut. 

Terlepas dari upaya Atlassian, ribuan organisasi masih rentan terhadap masalah ini. Perusahaan keamanan Censys menemukan bahwa jumlah instance Confluence yang rentan lebih dari 8.500 pada 5 September. 

Jenkins, server otomatisasi open source terkemuka, mengumumkan pada hari Sabtu bahwa layanan Confluence yang tidak digunakan lagi berhasil diserang melalui eksploitasi Confluence. 

Pada Rabu malam, perusahaan keamanan GreyNoise menemukan bahwa ratusan organisasi masih menjadi sasaran melalui kerentanan meskipun ada pemberitahuan dan liputan berita tentang masalah tersebut. 

CEO GreyNoise Andrew Morris mengatakan ada peningkatan besar pada hari Rabu dalam serangan Atlassian Confluence, dengan “lebih dari seratus perangkat secara oportunistik mengeksploitasi vuln dan terus bertambah. Jika Anda belum menambal, Anda sudah dimiliki.”

Morris mengatakan kepada ZDNet bahwa GreyNoise menjalankan jaringan besar sensor kolektor di ratusan pusat data di seluruh dunia dan melihat eksploitasi oportunistik pertama terjadi pada pukul 16:45 pada tanggal 31 Agustus.

“Kami telah melihatnya meningkat sedikit dalam beberapa hari terakhir. Dan sekarang, hanya hari ini saja, kami telah melihat lebih dari seratus perangkat secara oportunis mencoba mengeksploitasi kerentanan ini di internet,” kata Morris, menyebutkan jumlahnya. di 144.  

“Itu berarti jika pelanggan Atlassian Confluence belum melakukan patch dalam seminggu terakhir, itu masih sangat penting bagi mereka untuk melakukannya, tetapi yang lebih penting dari itu mungkin memanggil tim respons insiden atau tim pemburu jaringan karena ada kesempatan yang sangat bagus — saya akan mengatakan seperti, 99,999% — bahwa setiap pelanggan Confluence yang belum ditambal dalam seminggu terakhir mungkin telah disusupi.”

Bad Packets melaporkan bahwa aktivitas eksploitasi CVE-2021-26084 terdeteksi dari host yang berbasis di Rusia yang menargetkan honeypots Atlassian Confluence mereka. Mereka sebelumnya mengatakan bahwa mereka “mendeteksi pemindaian massal dan aktivitas yang dieksploitasi dari host di Brasil, Cina, Hong Kong, Nepal, Rumania, Rusia, dan AS yang menargetkan server Atlassian Confluence yang rentan terhadap eksekusi kode jarak jauh.”

Dari contoh di lingkungan Atlassian, Ludwig mengatakan semua serangan telah diotomatisasi dan semuanya adalah cryptomining. 

Morris mencatat bahwa sulit untuk mengatakan siapa sebenarnya yang mengeksploitasi kerentanan karena sering kali aktor ancaman mengomoditi akses, mengeksploitasi kerentanan baru dan kemudian menjual akses ke sistem ke aktor lain. 

“Mereka bisa saja merupakan kombinasi dari APT, kelompok kriminal, kelompok bermotivasi finansial, aktor negara pemerintah, atau bahkan orang-orang yang mencoba membangun botnet mereka sedikit. Jadi tidak sepenuhnya jelas,” katanya. 

“Tetapi biasanya ketika hal-hal seperti ini terjadi, setidaknya sejumlah orang jahat secara langsung termotivasi secara finansial dan biasanya jalan tercepat menuju monetisasi adalah menggunakan cryptojacking. Dalam hal ini, saya tidak memiliki bukti untuk menunjukkan apa itu orang jahat. lakukan begitu mereka mengkompromikan perangkat ini.”

Masalah dengan pembaruan

Ludwig mengatakan kepada ZDNet bahwa kerentanan adalah “tantangan klasik yang harus dihadapi perangkat lunak lokal selamanya.”

“Saya ingat 20 tahun yang lalu, ketika saya berada di Adobe, kami membuat keputusan bahwa kami akan mulai membuat buletin keamanan bulanan karena itu adalah cara untuk mendorong lebih banyak konsistensi dalam hal mendapatkan pembaruan di luar sana,” kata Ludwig. 

“Tetapi bahkan tingkat konsistensi itu tidak cukup untuk membuat orang melakukan patch secara teratur. Kami beruntung bahwa produk Atlassian tidak memiliki, sejujurnya, banyak penasihat keamanan yang keluar. Bisa berbulan-bulan, jika tidak satu tahun, antara saat ini keluar. Mereka relatif tidak umum, tetapi itu juga membuatnya sedikit lebih sulit untuk memastikan bahwa orang-orang memperbarui dengan cepat karena mereka tidak dalam praktik yang sama seperti yang mereka lakukan untuk beberapa produk perusahaan mereka yang lain.”

Dia menambahkan bahwa mereka yang memiliki layanan yang menghadap internet dan tidak dapat memperbarui dalam 24-48 jam harus mempertimbangkan untuk pindah ke cloud. 

“Anda benar-benar perlu mempertimbangkan untuk mencapai titik di mana keamanan Anda tidak bergantung pada proses yang tidak sesuai dengan harapan modern tentang seberapa cepat Anda perlu memperbarui. Saat ini, saya rasa kita tidak akan pernah secara arsitektural akan untuk memperbaiki fakta bahwa sulit untuk mendorong pembaruan perangkat lunak, memberi tahu semua orang, meminta mereka mengambil tindakan dan melakukannya lebih cepat daripada eksploitasi mulai terjadi,” jelas Ludwig. 

Ludwig mengatakan Atlassian tidak tahu berapa banyak organisasi yang belum memperbarui sistem mereka atau yang mana yang menjalankan skrip yang mereka sediakan sebagai bagian dari proses konsultasi bagi pelanggan yang tidak ingin memperbarui. 

Ludwig mengatakan dia secara pribadi memeriksa dengan dukungan pelanggan minggu ini dan mencatat bahwa mereka mendapatkan komentar dan pertanyaan karena beberapa mengalami masalah dalam memperbarui perangkat lunak mereka. 

“Secara umum, volumenya lebih rendah daripada yang kami lihat untuk contoh keamanan sebelumnya. Jadi sepertinya semuanya berjalan cukup baik,” kata Ludwig. “Bagi mereka yang mencoba melakukan pembaruan, tampaknya berhasil. Dan skrip juga menyediakan cara mudah bagi orang-orang untuk memastikan lingkungan mereka terlindungi.”

Ludwig menambahkan bahwa mereka menindaklanjuti dengan beberapa pelanggan pada hari Jumat dan telah memberikan informasi tambahan kepada tim lapangan Atlassian.

Dia mengatakan kepada ZDNet bahwa sulit untuk mengetahui berapa banyak pelanggan yang terpengaruh, berapa banyak pelanggan yang masih belum berada di tempat yang aman, dan berapa banyak pelanggan yang “tidak berada di tempat yang aman karena mereka telah membuat keputusan secara sadar.”

“Kami akan menindaklanjuti ketika kami bisa, tetapi harapan saya adalah akan selalu ada beberapa contoh perangkat lunak di internet yang kedaluwarsa dan dieksploitasi,” jelas Ludwig. 

“Pada akhirnya, kami ingin melakukan segala yang kami bisa untuk memastikan pelanggan mendapatkan patch atau menerapkan skrip yang mereka butuhkan secepat mungkin.”

Sejumlah pakar TI membela tanggapan Atlassian, dengan mengatakan biasanya sulit untuk membuat pelanggan memperbarui perangkat lunak, terutama selama dan setelah liburan akhir pekan.  

David McNeely, CTO di ThycoticCentrify, mengatakan hal itu sangat sulit karena hanya membutuhkan waktu dan dalam banyak kasus memerlukan perubahan untuk mengontrol persetujuan dan waktu henti berikutnya untuk melakukan pembaruan atau patching secara manual. 

Morris dari GreyNoise juga membela tanggapan Atlassian, mencatat bahwa hal semacam ini terjadi “cukup teratur.”

“Saya pikir ketika hal seperti ini terjadi, sangat mudah untuk terburu-buru dan ingin menumpuk ke Atlassian karena melakukan hal yang salah atau membuat pelanggan mereka rentan. Mereka bertanggung jawab, saya tidak membebaskan mereka dari tanggung jawab. Tapi ini terjadi pada hampir semua perusahaan perangkat lunak di planet ini,” kata Morris. 

“Dari waktu ke waktu, kerentanan diungkapkan, tambalan dilepaskan dan kemudian ada periode waktu di mana vendor ingin Anda menambal sesegera mungkin secara manusiawi. Tetapi mereka tidak dapat membuat Anda melakukannya.”

Situasi ini sangat buruk karena berapa banyak organisasi yang terpengaruh dan karena waktunya – akhir pekan Hari Buruh – sangat sulit, tambah Morris. 

“Itu semacam badai yang sempurna karena Confluence berjalan di internet, yang berarti ia harus tahan terhadap penyerang yang datang dari mana saja di seluruh Internet. Ini tidak seperti terkubur jauh di dalam jaringan seseorang, di mana ia akan berada. sedikit lebih aman secara default,” tambah Morris. 

“Jika ini berjalan di lingkungan Anda, saya akan sangat, sangat menyarankan untuk menambal dan memanggil tim respons insiden.” 

Related posts