Jenkins服务器背后的开发团队公开了一个安全漏洞,是一个OGNL(ObjectNavigationGraphLanguage)注入问题。经过身份验证的攻击者可以利用该漏洞在Confluence服务器和数据中心上执行任意代码,并且攻击者在一台服务器上部署了一个加密矿工。Jenkins服务器披露漏洞9月8日,据安全事务网消息,Jenkins项目开发团队在攻击者入侵其中一台内部服务器并安装加密货币挖矿工具后,披露了一个安全漏洞。Jenkins是最流行的开源自动化服务器,支持开发人员构建、测试和部署他们的应用程序。服务器由CloudBees和Jenkins社区共同维护,全球用户超过100万。在本次事件中,攻击者利用ConfluenceCVE-2021-26084漏洞破坏了Confluence服务(已暂停)。事件发生后,Jenkins团队已将受影响的服务器下线,并正在调查安全事件。根据开发团队发布的安全漏洞通报,截至目前,我们获悉利用ConfluenceCVE-2021-26084漏洞在运行该服务的容器中安装门罗币挖矿工具。然而,攻击者无法访问服务器基础设施的其余部分,除此之外,该团队表示Confluence确实集成了他们的身份系统,但没有任何迹象表明开发人员的凭据在攻击中受到损害。据Jenkins内部人士透露,Jenkins基础设施团队在本周早些时候发现针对Confluence服务的成功攻击后立即做出了反应。在调查潜在影响的同时,立即使受影响的服务器脱机。截至目前,jenkins团队认为没有理由相信任何Jenkins版本、插件或源代码受到影响。漏洞影响Atlassian修复漏洞几天后,攻击者开始利用Confluence企业协作产品中的CVE-2021-26084漏洞。利用该漏洞传播其他恶意软件,包括勒索软件,该漏洞的CVSS评分为9.8。受影响的版本有:Versions<6.13.236.14.0≤Versions<7.4.117.5.0≤Versions<7.11.57.12.0≤Versions<7.12.5USCYBERCOM上周发出警报,警告美国组织解决Atlassian(软件开发人员)周末前的ConfluenceCVE-2021-26084漏洞。威胁情报公司BadPackets的研究人员检测到针对AtlassianConfluence服务器的大规模扫描和利用活动。在网络安全公司Censys发表的一篇文章中,它表示在对Confluence服务器进行多次互联网扫描后,它发现12,876个唯一的IPv4主机正在运行该软件的可利用版本。参考文章:https://securityaffairs.co/wordpress/121934/hacking/jenkins-server-security-breach.html
