[[422704]]

Jenkins 服務(wù)器背后開發(fā)團(tuán)隊披露了一個安全漏洞，該漏洞是一個OGNL(對象導(dǎo)航圖語言)注入問題。經(jīng)過身份驗證的攻擊者可以利用該漏洞，在Confluence 服務(wù)器和數(shù)據(jù)中心執(zhí)行任意代碼，攻擊者在一臺服務(wù)器上部署了加密挖礦工具。

Jenkins 服務(wù)器披露一個漏洞

9月8日，據(jù)security affairs網(wǎng)站報道，Jenkins項目開發(fā)團(tuán)隊，在攻擊者破壞了其內(nèi)部一臺服務(wù)器并安裝了加密貨幣挖礦工具后，披露了一個安全漏洞。

Jenkins 作為最流行的開源自動化服務(wù)器，支持開發(fā)人員構(gòu)建、測試和部署他們的應(yīng)用程序。服務(wù)器由 CloudBees 和 Jenkins 社區(qū)共同維護(hù)，在全球擁有超過 100 萬用戶。

此次事件，攻擊者利用 Confluence CVE-2021-26084漏洞破壞了 Confluence 服務(wù)(已暫停使用)。事情發(fā)生后，Jenkins團(tuán)隊已將受影響的服務(wù)器下線，并對安全事件展開調(diào)查。

從開發(fā)團(tuán)隊發(fā)布的安全漏洞通知中得知，截止到目前，已經(jīng)了解到Confluence CVE-2021-26084漏洞被用與在運行服務(wù)的容器中，安裝一個Monero挖礦工具。但是，攻擊者無法訪問服務(wù)器的其他基礎(chǔ)設(shè)施，除此之外，團(tuán)隊稱Confluence確實與他們的身份系統(tǒng)集成，但沒有任何跡象表明開發(fā)人員的身份憑證在攻擊中被泄露。

據(jù) jenkins 內(nèi)部人員稱，本周早些時候，Jenkins 基礎(chǔ)設(shè)施團(tuán)隊在發(fā)現(xiàn)了針對Confluence 服務(wù)的成功攻擊后，立即做出應(yīng)對。在調(diào)查潛在影響的同時，立刻將受影響的服務(wù)器脫機(jī)。截至目前，jenkins團(tuán)隊認(rèn)為沒有理由相信任何 Jenkins 版本、插件或源代碼受到影響。

漏洞的影響

在Atlassian修補(bǔ)漏洞幾天后，攻擊者開始利用的Confluence 企業(yè)協(xié)作產(chǎn)品中 CVE-2021-26084漏洞，專家只觀察到攻擊者利用該問題來部署加密挖礦工具，但是懷疑攻擊者可能會利用漏洞來提供其他惡意軟件，包括勒索軟件，漏洞的CVSS 評分為 9.8。

受影響的版本是：

• 版本 < 6.13.23
• 6.14.0 ≤ 版本 < 7.4.11
• 7.5.0 ≤ 版本 < 7.11.5
• 7.12.0 ≤ 版本 < 7.12.5

美國網(wǎng)絡(luò)司令部 (USCYBERCOM)在上周發(fā)出警報，警告美國組織在周末之前立即解決 Atlassian(軟件開發(fā)商)Confluence CVE-2021-26084 漏洞。

威脅情報公司 Bad Packets 的研究人員，檢測到了針對Atlassian Confluence 服務(wù)器的大規(guī)模掃描和利用活動。

網(wǎng)絡(luò)安全公司 Censys 在發(fā)布的一篇文章中稱，在對Confluence服務(wù)器執(zhí)行了多次Internet掃描后，發(fā)現(xiàn)有 12876 臺單獨的IPv4主機(jī)正在運行該軟件的可被攻擊版本。

參考文章：https://securityaffairs.co/wordpress/121934/hacking/jenkins-server-security-breach.html