オープンソースの自動化システムとして最も広く利用されているJenkins社は、ハッカーに内部サーバーの1つにアクセスされ暗号通貨マイニングプログラムを実装され、セキュリティ侵害を被ったと発表しました。
ジェンキンスのインフラチームは、廃止されたConfluenceサービスに対する攻撃が行われていたことを発見しました。影響を受けたサーバーをオフラインにして、潜在的な影響を調査することで直ちに対応しました。現時点では、Jenkinsのリリース、プラグイン、ソースコードが影響を受けたと思われる事実はありません。
調査の結果、ConfluenceのCVE-2021-26084脆弱性を利用して、サービスを実行しているコンテナにMoneroマイナーと思われるものがインストールされていることがわかりました。そこからは、攻撃者は当社の他のインフラの多くにアクセスすることはできません。Confluenceは、Jira、Artifactory、その他多くのサービスを提供している統合IDシステムと統合されていました。
マルウェアが展開されたにもかかわらず、Jenkins社のチームは発表した声明の中で、侵入の深刻さを軽視しているようです。
Jenkins社によると、ハッキングされたサーバーは、現在は廃止されたJenkins wikiポータル(wiki.jenkins.io)をホストしていたものでプロジェクトがwikiとチームコラボレーションシステムを自己ホスト型のAtlassian ConfluenceサーバーからGitHubプラットフォームに移行した2019年10月以降、すでに非推奨となっていました。
現時点では、Jenkinsのリリース、プラグイン、ソースコードが影響を受けたと思われる理由はありません
ハッキングの発見後、ジェンキンス社の開発者は、ハッキングされたConfluenceサーバーを永久的に停止し、特権的な認証情報をローテーションし、開発者アカウントのパスワードをリセットしたと述べています。
Confluenceへの攻撃の一環としてのハッキング
今回のJenkinsの侵入は、アトラシアン社のConfluenceサーバーの認証バイパスおよびコマンドインジェクションのバグであるCVE-2021-26084(別名:Confluenza)を悪用した最近の一連の攻撃の1つとなっています。
Confluenceサーバーに対する攻撃は2021年9月上旬から始まり、セキュリティ研究者がGitHubで概念実証の攻略法を公開した後に被害が増加しました。
米国サイバーコマンドは公式に警告を発し、管理者が米国のレイバーデーの長期休暇に入る前に影響を受けたシステムにパッチを当てることを推奨しています。
セキュリティ企業のBad Packets社とRapid7社によると、暗号通貨マイニングを使った攻撃は現在も続いているとのことです。
インターネット監視プロジェクトのCensysによると、現在、インターネット上でアクセス可能なAtlassian Confluenceサーバーは約15,000台あり、9月5日(日)時点で、オンラインで接続されているConfluenceサーバーは8,597台あり、CVE-2021-26084の脆弱性が残っているとコメントしています。
Comments