Jenkins, um servidor líder de automação de código aberto, anunciou que seu serviço obsoleto Confluence foi atacado com sucesso por meio do exploit Confluence CVE-2021-26084 – algo que a US Cybercom alertou em um aviso na semana passada. Em um comunicado, o oficial de documentação do Jenkins, Mark Waite, explicou que o servidor afetado foi colocado off-line e a equipe está investigando o impacto do problema.
“No momento, não temos nenhuma razão para acreditar que qualquer versão, plug-in ou código-fonte do Jenkins tenha sido afetado. Até agora em nossa investigação, descobrimos que o exploit Confluence CVE-2021-26084 foi usado para instalar o que acreditamos ter sido um minerador Monero no contêiner que executa o serviço”, escreveu Waite.
“De lá, um invasor não seria capaz de acessar grande parte de nossa infraestrutura. O Confluence se integrou ao nosso sistema de identidade, que também alimenta Jira, Artifactory e vários outros serviços.” Waite acrescentou que não há indicação de que quaisquer credenciais de desenvolvedor tenham sido obtidas durante o ataque, mas que eles “não podem afirmar o contrário e, portanto, presumem o pior”.
Projeto Jenkins sofre ataque após falha do Atlassian Confluence
Jenkins disse que até que ele restabeleça uma “cadeia de confiança com nossa comunidade de desenvolvedores”, estará evitando lançamentos. Cada senha de conta foi redefinida e a equipe de infraestrutura do Jenkins desativou permanentemente o serviço Confluence. A equipe também alternou credenciais privilegiadas e tomou medidas para reduzir o escopo de acesso em sua infraestrutura.
“Estamos trabalhando em estreita colaboração com nossos colegas da Linux Foundation e da Continuous Delivery Foundation para garantir que a infraestrutura que não é gerenciada diretamente pelo projeto Jenkins também seja examinada”, observou Waite.
“Em outubro de 2019, tornamos o servidor Confluence somente leitura, descartando-o efetivamente para uso diário dentro do projeto. Naquela época, começamos a migrar a documentação e os changelogs do wiki para os repositórios GitHub. Essa migração está em andamento, com centenas de plug-ins e muitas outras páginas de documentação movidas do wiki para os repositórios do GitHub. “
O aviso ocorre depois que vários líderes de TI acessaram a mídia social para confirmar que o CVE-2021-26084 estava realmente sendo explorado.
Atlassian atualizou seu aviso – lançado em 25 de agosto – para confirmar que a vulnerabilidade está sendo ativamente explorada em estado selvagem.
“Os servidores afetados devem ser corrigidos imediatamente. A vulnerabilidade pode ser explorada por usuários não autenticados, independentemente da configuração”, acrescentou Atlassian em seu aviso anterior.
Rumores desde a semana passada
A US Cybercom causou um rebuliço quando tuitou na sexta-feira, “A exploração em massa do Atlassian Confluence CVE-2021-26084 está em andamento e deve acelerar. Por favor, corrija imediatamente se ainda não o fez – isso não pode esperar até depois do fim de semana.”
O BleepingComputer confirmou na quinta-feira que alguns agentes de ameaças estão instalando criptominadores em servidores Windows e Linux Confluence usando a vulnerabilidade.
Shawn Smith, diretor de infraestrutura da nVisium, disse que a vulnerabilidade do Atlassian Confluence “definitivamente ainda está sendo explorada”.
“Se olharmos para a lista de versões vulneráveis, ela inclui quase todas as versões – desde a linha 4.xx, que foi lançada originalmente em 2011. Olhando os primeiros detalhes, sabemos que quase 15.000 servidores estavam presentes online antes da divulgação da vulnerabilidade – e oito dias depois esse número caiu para menos de 4.000 “, disse Smith.
“Agora, estamos apenas cinco dias a mais e é improvável que um número significativo de servidores tenha sido corrigido, especialmente considerando que foi um fim de semana de feriado nos Estados Unidos.”
A empresa de segurança cibernética Censys atualizou sua própria postagem no blog no domingo para dizer que o número de instâncias vulneráveis ??do Confluence caiu de 11.689 para 8.597 desde a última quinta-feira. Bad Packets relatou que a atividade de exploit CVE-2021-26084 estava sendo detectada em hosts baseados na Rússia visando seus honeypots Atlassian Confluence.
Eles disseram anteriormente que “detectaram varredura em massa e atividades exploradas de hosts no Brasil, China, Hong Kong, Nepal, Romênia, Rússia e EUA, visando servidores Atlassian Confluence vulneráveis ??à execução remota de código”.
Via ZDNET
