Atlassian Confluence网络攻击扩大,Jenkins遭受重创
黑客利用最近披露的 Atlassian Confluence 远程代码执行漏洞破坏了Jenkins项目的内部服务器。
Jenkins是最流行的开源自动化服务器,由CloudBees和Jenkins社区维护。自动化服务器支持开发人员构建、测试和部署他们的应用程序,它在全球拥有数十万个活跃安装,拥有超过100万用户。
Jenkins已做安全处理
攻击者利用Confluence CVE-2021-26084漏洞破坏了该组织使用的已弃用的Confluence服务。针对该事件,Jenkins团队将受影响的服务器下线,并对安全事件展开调查。
在CVE-2021-26084 的概念验证漏洞代码公开后,威胁行为者开始扫描易受攻击的Atlassian Confluence实例以安装加密货币矿工。
虽然许多攻击者利用该漏洞安装开源、跨平台的XMRig Monero加密货币矿工,但他们也可以利用该漏洞进行更具破坏性的攻击。
“目前我们没有理由相信任何Jenkins 版本、插件或源代码受到影响,”该公司在周末发表的一份声明中表示。
在发现黑客行为后,Jenkins开发人员表示他们永久关闭了被黑客入侵的Confluence服务器,轮换了特权凭据,并为开发人员帐户重置了密码。
关于漏洞
该问题是由Benny Jacob (SnowyOwl)通过Atlassian公共漏洞赏金计划发现的,该漏洞的CVSS评分9.8非常危险。
受影响的版本是:
版本 < 6.13.23
6.14.0 ≤ 版本 < 7.4.11
7.5.0 ≤ 版本 < 7.11.5
7.12.0 ≤ 版本 < 7.12.5
该漏洞是一个对象图导航语言 (OGNL) 注入漏洞,影响 Confluence 服务器和数据中心(受影响的版本为 6.13.23 之前的版本、7.4.11之前的版本 6.14.0、7.11.6 之前的版本 7.5.0 ,以及 7.12.5 之前的 7.12.0 版)。OGNL 是一种用于获取和设置Java对象属性的表达式语言,可用于创建或更改可执行代码。
Palo Alto Networks的研究人员解释并证实:“如果安全漏洞被利用,威胁行为者可以绕过身份验证并在未修补的系统上运行任意代码。”
卡巴斯基研究人员解释说,如果“允许人们注册以创建他们的帐户”选项处于活动状态,则该漏洞仅可用于未经身份验证的RCE 。
Atlassian已经发布了6.13.23、7.4.11、7.11.6、7.12.5 和 7.13.0版本的更新。该错误不会影响Confluence Cloud用户。
针对漏洞的网络攻击爆炸式增长
The Record上周三报道称,对Confluence服务器的攻击于上周开始,并在安全研究人员在GitHub上发布了概念验证漏洞后逐渐增加。
攻击在整个星期内呈爆炸式增长,促使美国网络司令部在周五发布公开警告,敦促管理员在受影响的系统前往美国劳动节延长周末之前修补它们。
根据安全公司Bad Packets和Rapid7的说法,大多数部署了加密货币矿工的攻击仍在进行中。
根据互联网监控项目Censys,目前大约有15,000台Atlassian Confluence服务器可以通过互联网访问。
据Censys称,9月5日星期日,有8,597台Confluence服务器在线连接,但仍然容易受到CVE-2021-26084漏洞利用的攻击。
Atlassian的安全困境
7 月,Atlassian修补了其Jira平台中的一个严重缺陷,这是一种用于软件开发的专有错误跟踪和敏捷项目管理工具。它通常通过单点登录 (SSO) 功能与 ( PDF ) Confluence 平台相关联。
被追踪为CVE-2020-36239 的问题可能使远程、未经身份验证的攻击者能够在某些 Jira数据中心产品中执行任意代码。
数字风险提供商Digital Shadows的高级网络威胁情报分析师Chris Morgan表示,最近几次供应链攻击,包括针对软件提供商Accellion和Kaseya的攻击由于安全漏洞利用导致,这些安全漏洞使攻击者获得初始访问权限并实施破坏。
早在6月,研究人员发现了一个Atlassian漏洞链,可以导致Jira账户信息一键泄露。Check Point Research的研究人员表示,敏感信息可能很容易从平台上被窃取,安全漏洞大多都可以从代码中找到原因。
90%的网络攻击是由软件漏洞被利用导致的,而超过6成的安全漏洞与静态代码有关。显而易见,提高代码质量可以有效降低安全漏洞数从而降低遭到网络攻击的风险。在软件开发过程中,通过静态代码分析技术可以帮助用户减少30-70%的安全漏洞,大大提高软件安全性。在等保2.0网络安全入侵防范要求中,也明确在移动管理、生产管理层-控制要求2、3、4中提出了对漏洞评估与修复、恶意代码检测等管理要求,随着安全左移,在开发期间加强对代码安全检测,不但可以为网络安全做好防御工作,同时将缺陷修复成本降至最低。
参读链接:
https://www.bleepingcomputer.com/news/security/jenkins-projects-confluence-server-hacked-to-mine-monero/
https://thehackernews.com/2021/09/latest-atlassian-confluence-flaw.html
https://threatpost.com/jenkins-atlassian-confluence-cyberattacks/169249/