Atlassian Confluence網路攻擊擴大，Jenkins遭受重創

駭客利用最近披露的 Atlassian Confluence 遠端程式碼執行漏洞破壞了Jenkins專案的內部伺服器。

Jenkins是最流行的開源自動化伺服器，由CloudBees和Jenkins社群維護。自動化伺服器支援開發人員構建、測試和部署他們的應用程式，它在全球擁有數十萬個活躍安裝，擁有超過100萬使用者。

Jenkins已做安全處理

攻擊者利用Confluence CVE-2021-26084漏洞破壞了該組織使用的已棄用的Confluence服務。針對該事件，Jenkins團隊將受影響的伺服器下線，並對安全事件展開調查。

在CVE-2021-26084 的概念驗證漏洞程式碼公開後，威脅行為者開始掃描易受攻擊的Atlassian Confluence例項以安裝加密貨幣礦工。

雖然許多攻擊者利用該漏洞安裝開源、跨平臺的XMRig Monero加密貨幣礦工，但他們也可以利用該漏洞進行更具破壞性的攻擊。

“目前我們沒有理由相信任何Jenkins 版本、外掛或原始碼受到影響，”該公司在週末發表的一份宣告中表示。

在發現駭客行為後，Jenkins開發人員表示他們永久關閉了被駭客入侵的Confluence伺服器，輪換了特權憑據，併為開發人員帳戶重置了密碼。

關於漏洞

該問題是由Benny Jacob (SnowyOwl)透過Atlassian公共漏洞賞金計劃發現的，該漏洞的CVSS評分9.8非常危險。

受影響的版本是：

版本 < 6.13.23

6.14.0 ≤ 版本 < 7.4.11

7.5.0 ≤ 版本 < 7.11.5

7.12.0 ≤ 版本 < 7.12.5

該漏洞是一個物件圖導航語言 (OGNL) 注入漏洞，影響 Confluence 伺服器和資料中心(受影響的版本為 6.13.23 之前的版本、7.4.11之前的版本 6.14.0、7.11.6 之前的版本 7.5.0 ，以及 7.12.5 之前的 7.12.0 版)。OGNL 是一種用於獲取和設定Java物件屬性的表示式語言，可用於建立或更改可執行程式碼。

Palo Alto Networks的研究人員解釋並證實：“如果安全漏洞被利用，威脅行為者可以繞過身份驗證並在未修補的系統上執行任意程式碼。”

卡巴斯基研究人員解釋說，如果“允許人們註冊以建立他們的帳戶”選項處於活動狀態，則該漏洞僅可用於未經身份驗證的RCE 。

Atlassian已經發布了6.13.23、7.4.11、7.11.6、7.12.5 和 7.13.0版本的更新。該錯誤不會影響Confluence Cloud使用者。

針對漏洞的網路攻擊爆炸式增長

The Record上週三報導稱，對Confluence伺服器的攻擊於上週開始，並在安全研究人員在GitHub上釋出了概念驗證漏洞後逐漸增加。

攻擊在整個星期內呈爆炸式增長，促使美國網路司令部在週五釋出公開警告，敦促管理員在受影響的系統前往美國勞動節延長週末之前修補它們。

根據安全公司Bad Packets和Rapid7的說法，大多數部署了加密貨幣礦工的攻擊仍在進行中。

根據網際網路監控專案Censys，目前大約有15,000臺Atlassian Confluence伺服器可以透過網際網路訪問。

據Censys稱，9月5日星期日，有8,597臺Confluence伺服器線上連線，但仍然容易受到CVE-2021-26084漏洞利用的攻擊。

Atlassian的安全困境

7 月，Atlassian修補了其Jira平臺中的一個嚴重缺陷，這是一種用於軟體開發的專有錯誤跟蹤和敏捷專案管理工具。它通常透過單點登入 (SSO) 功能與 ( PDF ) Confluence 平臺相關聯。

被追蹤為CVE-2020-36239 的問題可能使遠端、未經身份驗證的攻擊者能夠在某些 Jira資料中心產品中執行任意程式碼。

數字風險提供商Digital Shadows的高階網路威脅情報分析師Chris Morgan表示，最近幾次供應鏈攻擊，包括針對軟體提供商Accellion和Kaseya的攻擊由於安全漏洞利用導致，這些安全漏洞使攻擊者獲得初始訪問許可權並實施破壞。

早在6月，研究人員發現了一個Atlassian漏洞鏈，可以導致Jira賬戶資訊一鍵洩露。Check Point Research的研究人員表示，敏感資訊可能很容易從平臺上被竊取，安全漏洞大多都可以從程式碼中找到原因。

90%的網路攻擊是由軟體漏洞被利用導致的，而超過6成的安全漏洞與靜態程式碼有關。顯而易見，提高程式碼質量可以有效降低安全漏洞數從而降低遭到網路攻擊的風險。在軟體開發過程中，透過 靜態程式碼分析技術可以幫助使用者減少30-70%的安全漏洞，大大提高軟體安全性。在等保2.0網路安全入侵防範要求中，也明確在移動管理、生產管理層-控制要求2、3、4中提出了對漏洞評估與修復、惡意程式碼檢測等管理要求，隨著安全左移，在開發期間加強對程式碼安全檢測，不但可以為網路安全做好防禦工作，同時將缺陷修復成本降至最低。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：

https://www.bleepingcomputer.com/news/security/jenkins-projects-confluence-server-hacked-to-mine-monero/