[[422704]]

Jenkins 服務器背后開發(fā)團隊披露了一個安全漏洞，該漏洞是一個OGNL(對象導航圖語言)注入問題。經過身份驗證的攻擊者可以利用該漏洞，在Confluence 服務器和數(shù)據(jù)中心執(zhí)行任意代碼，攻擊者在一臺服務器上部署了加密挖礦工具。

Jenkins 服務器披露一個漏洞

9月8日，據(jù)security affairs網站報道，Jenkins項目開發(fā)團隊，在攻擊者破壞了其內部一臺服務器并安裝了加密貨幣挖礦工具后，披露了一個安全漏洞。

Jenkins 作為最流行的開源自動化服務器，支持開發(fā)人員構建、測試和部署他們的應用程序。服務器由 CloudBees 和 Jenkins 社區(qū)共同維護，在全球擁有超過 100 萬用戶。

此次事件，攻擊者利用 Confluence CVE-2021-26084漏洞破壞了 Confluence 服務(已暫停使用)。事情發(fā)生后，Jenkins團隊已將受影響的服務器下線，并對安全事件展開調查。

從開發(fā)團隊發(fā)布的安全漏洞通知中得知，截止到目前，已經了解到Confluence CVE-2021-26084漏洞被用與在運行服務的容器中，安裝一個Monero挖礦工具。但是，攻擊者無法訪問服務器的其他基礎設施，除此之外，團隊稱Confluence確實與他們的身份系統(tǒng)集成，但沒有任何跡象表明開發(fā)人員的身份憑證在攻擊中被泄露。

據(jù) jenkins 內部人員稱，本周早些時候，Jenkins 基礎設施團隊在發(fā)現(xiàn)了針對Confluence 服務的成功攻擊后，立即做出應對。在調查潛在影響的同時，立刻將受影響的服務器脫機。截至目前，jenkins團隊認為沒有理由相信任何 Jenkins 版本、插件或源代碼受到影響。

漏洞的影響

在Atlassian修補漏洞幾天后，攻擊者開始利用的Confluence 企業(yè)協(xié)作產品中 CVE-2021-26084漏洞，專家只觀察到攻擊者利用該問題來部署加密挖礦工具，但是懷疑攻擊者可能會利用漏洞來提供其他惡意軟件，包括勒索軟件，漏洞的CVSS 評分為 9.8。

受影響的版本是：

• 版本 < 6.13.23
• 6.14.0 ≤ 版本 < 7.4.11
• 7.5.0 ≤ 版本 < 7.11.5
• 7.12.0 ≤ 版本 < 7.12.5

美國網絡司令部 (USCYBERCOM)在上周發(fā)出警報，警告美國組織在周末之前立即解決 Atlassian(軟件開發(fā)商)Confluence CVE-2021-26084 漏洞。

威脅情報公司 Bad Packets 的研究人員，檢測到了針對Atlassian Confluence 服務器的大規(guī)模掃描和利用活動。

網絡安全公司 Censys 在發(fā)布的一篇文章中稱，在對Confluence服務器執(zhí)行了多次Internet掃描后，發(fā)現(xiàn)有 12876 臺單獨的IPv4主機正在運行該軟件的可被攻擊版本。

參考文章：https://securityaffairs.co/wordpress/121934/hacking/jenkins-server-security-breach.html