企业已经不再使用的应用程序服务器,由于往往疏于管理,很可能会被黑客滥用,用于挖矿甚至是入侵企业的跳板。例如,知名的持续集成(CI)工具Jenkins于9月4日发布公告,表明他们已经弃用的Confluence协作平台服务器,疑似被植入门罗币的挖矿软件,而攻击者对于该服务器下手的渠道,就是始于8月底修补的重大漏洞CVE-2021-26084。
针对此事的处理情形,Jenkins表示,他们在发现此协作平台遭到攻击之后,立即将服务器进行脱机,并着手调查。而对于此事可能会带来的影响,Jenkins指出,目前他们所有的Jenkins主程序、插件软件,以及程序代码,并未受到波及,也没有迹象显示开发者的帐密遭到外泄。但为了以防万一,Jenkins还是重设所有用户的密码,且表明在重新创建与开发社群之间的信任链(Chain of Trust)之前,暂停发布新版的Jenkins软件。
而为了防范这起事故波及Jenkins其他的IT环境,该项目的基础设施团队也永久停用Confluence服务,并更换特权账号的密码。Jenkins也与Linux基金会、持续交付基金会(Continuous Delivery Foundation)密切合作,确认由Jenkins项目间接管控的基础设施也进行详细检查。
针对这台遭到入侵的Confluence服务器,Jenkins也进一步说明使用情形:这台服务器先前是用来架设共笔系统(wiki.jenkins.io),后来随着Jenkins将协作资料陆续转移到GitHub,该Confluence服务器已于2019年10月弃用,并设置为只读状态。Jenkins表示,攻击者无法从这台服务器访问他们大部分的基础设施。
关于此起事故中疑似遭到滥用的漏洞CVE-2021-26084,这是对象图导航语言(Object Graph Navigation Language,OGNL)注入漏洞,存在于Confluence Server与Confluence Data Center,一旦遭到滥用,攻击者可借由未经授权的用户执行任意程序代码,CVSS风险层级达9.8分。
由于这项漏洞已遭到黑客锁定,美国网战司令部(US Cyber Command)于9月3日提出警告,用户应尽快修补,并认为不应拖过周末再处理。但根据安全企业Censys的调查,截至9月7日,仍有8,119台Confluence服务器曝险。而对于攻击者的意图,安全新闻网站Bleeping Computer于9月2日指出,他们根据安全企业Bad Packets找到的漏洞利用工具进行分析,发现攻击者试图在Windows与Linux版Confluence服务器上,植入挖矿软件来进行挖矿。