圖片來源: 

Jenkins

企業已經不再使用的應用程式伺服器,由於往往疏於管理,很可能會被駭客濫用,用於挖礦甚至是入侵企業的跳板。例如,知名的持續整合(CI)工具Jenkins於9月4日發布公告,表明他們已經棄用的Confluence協作平臺伺服器,疑似被植入門羅幣的挖礦軟體,而攻擊者對於該伺服器下手的管道,就是甫於8月底修補的重大漏洞CVE-2021-26084

針對此事的處理情形,Jenkins表示,他們在發現此協作平臺遭到攻擊之後,立即將伺服器予以離線,並著手調查。而對於此事可能會帶來的影響,Jenkins指出,目前他們所有的Jenkins主程式、外掛軟體,以及程式碼,並未受到波及,也沒有跡象顯示開發者的帳密遭到外洩。但為了以防萬一,Jenkins還是重設所有用戶的密碼,且表明在重新建立與開發社群之間的信任鏈(Chain of Trust)之前,暫停發布新版的Jenkins軟體。

而為了防範這起事故波及Jenkins其他的IT環境,該專案的基礎設施團隊也永久停用Confluence服務,並更換特權帳號的密碼。Jenkins也與Linux基金會、持續交付基金會(Continuous Delivery Foundation)密切合作,確認由Jenkins專案間接控管的基礎設施也進行詳細檢查。

針對這臺遭到入侵的Confluence伺服器,Jenkins也進一步說明使用情形:這臺伺服器先前是用來架設共筆系統(wiki.jenkins.io),後來隨著Jenkins將協作資料陸續移轉到GitHub,該Confluence伺服器已於2019年10月棄用,並設置為唯讀狀態。Jenkins表示,攻擊者無法從這臺伺服器存取他們大部分的基礎設施。

關於此起事故中疑似遭到濫用的漏洞CVE-2021-26084,這是物件圖導航語言(Object Graph Navigation Language,OGNL)注入漏洞,存在於Confluence Server與Confluence Data Center,一旦遭到濫用,攻擊者可藉由未經授權的使用者執行任意程式碼,CVSS風險層級達9.8分。

由於這項漏洞已遭到駭客鎖定,美國網戰司令部(US Cyber Command)於9月3日提出警告,用戶應儘速修補,並認為不應拖過周末再處理。但根據資安業者Censys的調查,截至9月7日,仍有8,119臺Confluence伺服器曝險。而對於攻擊者的意圖,資安新聞網站Bleeping Computer於9月2日指出,他們根據資安業者Bad Packets找到的漏洞利用工具進行分析,發現攻擊者試圖在Windows與Linux版Confluence伺服器上,植入挖礦軟體來進行挖礦。

熱門新聞

Advertisement