【安全资讯】Jenkins项目的Confluence服务器遭入侵并被部署恶意软件

引言

9月4日，Jenkins团队发布声明称，其Confluence服务器遭到攻击。此次攻击活动利用了Confluence中的身份验证绕过和命令注入漏洞CVE-2021-26084，获得了对其服务器的访问权限，并安装了一个恶意挖矿软件。

简况

Jenkins团队表示，尽管遭入侵并被部署恶意软件，但被入侵的服务器托管着目前已不再使用的 Jenkins wiki 门户 (wiki.jenkins.io)，且在2019年10月就已经弃用。Atlassian Confluence服务器上托管的wiki网站和团队协作系统已迁移至GitHub平台，因此没有任何Jenkins版本、插件或源代码受到影响。

此次攻击活动利用了CVE-2021-26084漏洞，该漏洞是Atlassian公司Confluence服务器中的认证绕过和命令注入漏洞。美国网络司令部在上周五发布警告，督促管理员在美国劳动节假期之前修复受影响系统。攻击的主要目的是部署挖矿软件。在 8 月 25 日有关该漏洞的详细信息公开之前，Censys称已发现了大约 14,637 个可访问且易受攻击的 Confluence 服务器，9月5日，受影响的服务器已经降至8597台服务器，如下图：

总结

入侵事件发生后，Jenkins 开发人员表示已永久下架被黑的 Confluence 服务器，修改了权限凭据并重置了开发人员的账户。