Jenkins project succumbs to ‘mass exploitation’ of critical Atlassian Confluence vulnerability
2021/09/07 DailySwig — Jenkins Project は、Atlassian のチーム・コラボレーション・ソフトウェアである Confluence の、深刻な脆弱性を狙った広範な攻撃の餌食になったと発表している。先週に、攻撃者たちは、Jenkins における非推奨の Confluence サービスを侵害し、9月4日 (土) には、このオープンソース・オートメーション・サーバーの背後にいるチームのことを明らかにした。
Jenkins はチーム・ブログで、「影響を受けたサーバーをオフラインにし、潜在的な影響を調査することで、即座に対応した。現時点において、Jenkins のリリース/プラグイン/ソースコードに影響が生じたと考える理由はない」と述べている。
パッチを待つべきではない
この攻撃者は、2017年に発生した Equifax のハッキング事件と同じタイプの脆弱性である、Open Graph Navigation Library (OGNL) インジェクションの欠陥を悪用し、Confluence Server および Data Center インスタンスで、リモートコード実行 (RCE)を可能にしている。この脆弱性 CVE-2021-26084 の CVSS は9.8 であり、8月25日の Confluence セキュリティ・アドバイザリで公開されている。
米国 US CyberCOM は、PoC エクスプロイトが広まっていることも踏まえ、9月3日 (金) からの Labor Day の連休の前に、脆弱なシステムをアップデートすべきとする、緊急性を強調するツイートを発信している。同局は、「Atlassian Confluence の CVE-2021-26084 を介した、大量の不正利用は現在進行中であり、今後も加速すると予想される。パッチの適用がマダの場合には、直ちにパッチを当てるべきだ。週末が終わるまで待ってはいけない」と警告している。
情報セキュリティ企業である Censys は、この問題を追跡しているブログ記事の最新の更新で、こうした警告に耳を傾けている顧客の数を明らかにしている。具体的には、脆弱な Confluence インスタンスの数が、8月25日の 14,562件から、9月5日の 8,597件へと減少したことが確認される。
Monero 暗号マイニング
Jenkins Project によると、「影響を受けた Confluence イ ンスタンスを実行しているコンテナに、攻撃者たちは Monero 暗号マイナーと思われるものをインストールした。
しかし、そこから、他の多くのインフラにアクセスすることはできない」とされる。ただし、Jenkins は「最悪の事態を想定」しており、「開発者コミュニティとの信頼関係を再構築するまで」リリースを停止している。Jenkins は、今回の攻撃で開発者の認証情報が盗まれた形跡はないとしているが、Confluence が統合されている ID システムに対して、ユニバーサル・パスワードのリセットを適用している。
侵害された Confluence サービスは、Jenkins がドキュメントや変更履歴を GitHub リポジトリに移行し始めた 2019年に、読み取り専用モードに切り替えられているが、現在は「永久に無効化」されている。Jenkins は、「特権的な認証情報をローテーションし、当社のインフラ全体のアクセス範囲を、さらに縮小するための積極的な対策を講じている。また、Linux Foundation や Continuous Delivery Foundation とも緊密に協力し、Jenkins プロジェクトが直接に管理していないインフラも精査するようにしている」と付け加えている。
アップデートと回避策
この脆弱性への対応は、オンプレミス版 Atlassian Confluence の Ver 6.13.23 / 7.4.11 / 7.11.6 / 7.12.5 / 7.13.0 で処理されている。また、それ以前の、ほとんどのバージョンにおいて、この脆弱性の影響が生じる。Atlassian は、直ちにアップデートが適用できない場合の、一時的な回避策として、スクリプトを提供している。なお、Atlassian Confluence Cloud の顧客は影響を受けない。
この脆弱性を発見したのは、セキュリティ研究者の Benny Jacob である。
このインシデント、昨日のポスト「米政府 警告:Atlassian Confluence の大規模な悪用が進行中」には、CyberCOM だけではなく Cyber National Mission Force の名前も記載されていました。どちらも米軍関係なので、なにかウラがありそうというのが、ブログチーム内の噂話です 🙂 この記事で興味深いのは、「2017年に発生した Equifax のハッキング事件と同じタイプの脆弱性」の部分ですが、まぁ、脆弱性の種類の話なので、それほど気にする必要はないと思っています。こうして、Jenkins に飛び火しているわけですが、ここで止まるのか? ・・・と心配してしまいます。
IoT OT Security News 