Сервер Confluence проекта Дженкинса взломан для майнинга Monero

35
S4 Capital Мартина Соррелла приобретает группу технологических услуг Zemoga

Хакеры, использующие недавно обнаруженную уязвимость удаленного выполнения кода Atlassian Confluence, взломали внутренний сервер проекта Jenkins.

Хотя атака вызывает беспокойство, поскольку Jenkins является популярным сервером с открытым исходным кодом для автоматизации частей разработки программного обеспечения, нет никаких причин, по которым были затронуты выпуски проекта, плагины или код.

Админы осторожничают

Как сообщил на прошлой неделе BleepingComputer , после того, как проверочный код эксплойта для CVE-2021-26084 стал общедоступным, злоумышленники начали сканировать уязвимые экземпляры Atlassian Confluence для установки майнеров криптовалюты.

Хотя многие злоумышленники использовали эксплойт для установки кроссплатформенного майнера криптовалюты XMRig Monero с открытым исходным кодом, они также могли использовать уязвимость для более разрушительных атак.

На прошлой неделе администраторы проекта Jenkins обнаружили, что один из устаревших серверов Confluence стал жертвой одной из этих атак.

«К настоящему времени в ходе нашего расследования мы узнали, что эксплойт Confluence CVE-2021-26084 использовался для установки того, что, по нашему мнению, было майнером Monero в контейнере, в котором запущена служба. Оттуда злоумышленник не сможет получить доступ к большей части другой нашей инфраструктуры », – Марк Уэйт, специалист по документации Jenkins.

Хотя нет никаких свидетельств того, что злоумышленник украл учетные данные разработчика, руководители проектов Jenkins проявляют осторожность и сбрасывают пароли для всех учетных записей в интегрированной системе идентификации, которая также включает устаревшую службу Confluence.

Администраторы также заявили, что они «принимают меры для предотвращения выпусков в настоящее время, пока мы не восстановим цепочку доверия с нашим сообществом разработчиков». Затронутая служба Confluence больше не активна, и привилегированные учетные данные были изменены.

CVE-2021-26084 – это уязвимость удаленного выполнения кода в Atlassian Confluence, которая может использоваться без аутентификации. Новость об этом появилась 25 августа, когда компания опубликовала предупреждение о безопасности.

Примерно через неделю технические подробности стали общедоступными вместе с экспериментальным кодом эксплойта. Злоумышленники начали использовать такие возможности, что киберкомандование США (USCYBERCOM) выпустило предупреждение о массовой эксплуатации.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here