في الرابع من أكتوبر، كشفت شركة البرمجيات Atlassian عن ملف ثغرة أمنية حرجة في يوم الصفر (CVE-2023-22515) التي تؤثر على مركز بيانات Confluence ومنتجات الخادم. لقد تم استغلال الثغرة الأمنية الحرجة لتصعيد الامتيازات بشكل مباشر، مما يمنح المهاجمين القدرة على إنشاء حسابات مسؤول والوصول إلى مثيلات Confluence.
أصدرت الشركة أ نصائح أمنية حرجة حث المستخدمين المتأثرين على ترقية مثيلاتهم وإجراء اكتشاف شامل للتهديدات. ما الذي يجب أن يفكر فيه CISOs وغيرهم من قادة تكنولوجيا المعلومات بعد الكشف عن هذه الثغرة الأمنية؟
الضعف
يؤثر CVE-2023-22515 على 21 إصدارًا من منتجات Confluence Data Center وConfluence Server، بدءًا من الإصدار 8.0.0 وانتهاءً بـ 8.5.1، وفقًا لاستشارات الأمان. يؤثر الخطأ على المثيلات المحلية؛ ولا يؤثر على مواقع Atlassian السحابية.
أعطى Atlassian الثغرة الأمنية تصنيفًا حرجًا لـ CVSS 10. “هذا يدل على أن الجهات الفاعلة الخبيثة يمكنها استغلال الثغرة الأمنية بسهولة نسبية، مما قد يتسبب في ضرر كبير،” كما قال أور أسبر، رئيس الأبحاث في شركة الاستجابة للحوادث السحابية وSaaS. معيتيقة، يقول InformationWeek عبر البريد الإلكتروني. “في السياق المحدد لهذه الثغرة الأمنية، يمكن للمهاجمين الذين لديهم إمكانية الوصول إلى الشبكة إلى منتجات Atlassian رفع امتيازاتهم بسرعة إلى المستوى الإداري.”
يمكن للامتيازات الإدارية تمكين الجهات الفاعلة السيئة من تنفيذ أنشطة ضارة مختلفة، بما في ذلك استخراج البيانات وتسوية النظام.
التحقيق
قام عدد قليل من العملاء أولاً بتنبيه شركة Atlassian إلى احتمال استغلال الثغرة الأمنية غير المعروفة سابقًا، وفقًا للاستشارة الأمنية.
“أولويتنا هي أمان مثيلات عملائنا، ونحن نتعاون مع شركاء استخبارات التهديدات الرائدين في الصناعة، مثل Microsoft، للحصول على معلومات إضافية قد تساعد العملاء في الاستجابة للثغرة الأمنية،” يشارك متحدث باسم Atlassian في رسالة عبر البريد الإلكتروني إفادة.
مايكروسوفت التهديدات الاستخباراتية تم تحديد جهة فاعلة لتهديد الدولة القومية (Storm-0062) يستغل هذه الثغرة الأمنية منذ 14 سبتمبر، وفقًا لتحديث على موقع X (تويتر سابقًا). لاحظت Microsoft أن ممثل التهديد هذا يتم تعقبه أيضًا باسم DarkShadow وOro0lxy. Storm-0062 هو اسم لـ قراصنة الدولة الصينية الذين لديهم تاريخ من أنشطة القرصنة التي ترعاها الدولة.
وتشير شركة Atlassian في تحذيرها الأمني إلى أنها تواصل العمل مع شركائها وعملائها للتحقيق في الأمر.
العلاج
نحث العملاء الذين لديهم مثيلات Confluence Data Center وServer المعرضة للإنترنت العام على الترقية إلى إصدار ثابت، وفقًا لاستشارات الأمان الخاصة بشركة Atlassian. لكن إكمال الترقية لا يعالج هذه الثغرة الأمنية بشكل كامل. الترقية لن إزالة التسوية إذا كانت الحالات قد تأثرت بالفعل.
يُنصح أيضًا العملاء الذين يحتمل أن يتأثروا بهذه الثغرة الأمنية بإجراء اكتشاف للتهديدات للتأكد من تعرض أي حالات للاختراق.
“إذا كنت في بيئة أطلسية، فقد قمت بتصحيح الخادم الخاص بي لأنه من المحتمل أن أتأثر. والشيء التالي الذي سأفعله هو أنني سأراجع سجلاتي لأرى [if there have] يقول بن سميث، المدير الفني الميداني لشركة الأمن السيبراني: “كان أي مستخدم إداري تم إنشاؤه أو ربما ترقيته من مستخدم نهائي عادي داخل تلك البيئة إلى ذلك المستوى الإداري”. NetWitness.
الخطوط العريضة الأطلسية محددة مؤشرات التسوية (IOCs). “تشمل مجالات الاهتمام الخاصة: الأعضاء المشبوهين في مجموعة “المسؤولين” وحسابات المستخدمين المنشأة حديثًا وسجلات الوصول إلى الشبكة بطلبات “/setup/*.action” وسجلات الأخطاء بما في ذلك “/setup/setupadministrator.action”. ويوضح أسبر أن هذه الخطوات ستساعد فرق الأمن على تحديد أي اختراقات محتملة والاستجابة لها بشكل فعال.
إذا اكتشف العميل حالات مخترقة، توصي Atlassian بالعمل مع فريق الأمان الخاص به لتحديد نطاق الاختراق وتحديد طرق الاسترداد. سيعمل فريق دعم Atlassian مع العميل لاستعادة المثيلات وحمايتها.
الوجبات السريعة الهامة
تعد أدوات التعاون جزءًا أساسيًا من ممارسة الأعمال التجارية للعديد من المؤسسات. يُذكّر خطأ اليوم الأول هذا جميع مدراء تكنولوجيا المعلومات وقادة تكنولوجيا المعلومات، سواء كانت شركاتهم تستخدم Confluence أم لا، بأن هذه الأدوات جزء مهم من إدارة المخاطر. يقول سميث: “تميل حلول التعاون إلى أن تكون أهدافًا جذابة جدًا للخصوم اليوم”.
ستظل المزيد من ثغرات يوم الصفر، التي تم اكتشافها في أدوات التعاون والمنتجات الأخرى، في حاجة إلى التصحيح والمعالجة. عثر مشروع التتبع Zero-Day.cz على إجمالي 52 نقطة ضعف يوم الصفر في عام 2022. وفي عام 2023، سيكون هذا الرقم ما يصل إلى 78.
صافي رضا، مدير الأمن السيبراني في إدارة مخاطر الاندماج، شركة برمجيات إدارة المخاطر، تؤكد على أهمية تقييم برامج التصحيح الخاصة بالمؤسسات. ويقول: “المشكلة هي أن العديد من المنظمات بطيئة للغاية في الاستجابة”. “يحتاج CISO إلى فهم مدى خطورة هذه التنبيهات… عندما يتم الإعلان عنها، و [when] عندما تصبح التصحيحات متاحة، يجب عليك تصحيحها في أقرب وقت ممكن.
يمكن أن يساعد الحفاظ على مخزون أصول دقيق وجيد التنظيم المؤسسات على تحديد المنتجات والإصدارات المستخدمة بسرعة في حالة وجود ثغرة أمنية معلنة، وفقًا لـ Aspir. ويقول: “يعد هذا المخزون محوريًا في الكشف المبكر عن المنتجات المعرضة لبرامج استغلال الثغرات المعروفة”.
تعد رؤية الشبكة أمرًا بالغ الأهمية أيضًا عند التفكير في نقاط الضعف مثل هذه. يقول سميث: “إن رؤية الشبكة هي التي تظهر لك سلوكيات غير عادية، وغير متوقعة، وربما ضارة”.
ومع ظهور المزيد من ثغرات يوم الصفر في المستقبل، يوصي رازا بأن تجعلها المؤسسات جزءًا من تمارينها المنتظمة. على الرغم من أن فرق الأمن لا يمكنها التنبؤ بالضبط بما سيكون عليه خطأ يوم الصفر التالي، إلا أنه يمكنها تنفيذ سيناريوهات مختلفة لتحسين استجابتها. كيف ستستجيب المنظمة عندما يتم الكشف عن ثغرة أمنية جديدة؟ كيف سيتم اختبار وتطبيق التصحيح الناتج؟ “ارتباط [will] يجب على مؤسستك اتخاذ… احتواء الاختراق أو الثغرة الأمنية؟” رضا يسأل.
الاستغلال الجماعي من هذه الثغرة الأمنية ممكن. “كان البائع هو الذي كان لديه الخطأ. يقول سميث: “لقد قام البائع بحل الخلل، ولكن ما يقلقنا جميعًا هنا في الصناعة هو التأثير على هؤلاء العملاء النهائيين”.
