您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    我们有最适合您的产品和最好的服务。登录  /  注册  /  旧平台入口

利用最新的Atlassian Confluence漏洞破坏Jenkins Project Server

 

Jenkins(一种流行的开源自动化服务器软件)的维护者披露了一个安全漏洞,原因是身份不明的威胁参与者利用最近披露的Atlassian Confluence service中的漏洞安装了加密货币miner,从而访问了他们的一台服务器。


据信发生在上周的“成功攻击”是针对自2019年10月以来一直被弃用的Confluence服务发起的,导致团队将服务器脱机,轮换特权凭据,并重置开发人员帐户的密码。


该公司在周末发表的一份声明中表示:“目前我们没有理由相信任何Jenkins版本、插件或源代码受到影响”。


美国网络司令部警告说,正在进行大规模的野外攻击企图,目标是一个现已修补的影响Atlassian Confluence部署的关键安全漏洞。


该漏洞被追踪为CVE-2021-26084(CVSS score:9.8),与OGNL(对象图导航语言)注入漏洞有关,在特定实例中,该漏洞可被利用在汇流服务器或数据中心实例上执行任意代码。


据网络安全公司Censys(一家搜索互联网设备的搜索引擎)称,在8月25日公布漏洞细节之前,发现了约14637台暴露的易受攻击的汇流服务器,截至9月5日,由于公司继续应用Atlassian的补丁程序,并使受影响的服务器无法通过互联网访问,该数字已降至8597。


参考链接:https://thehackernews.com/2021/09/latest-atlassian-confluence-flaw.html

您可能还会对下面的文章感兴趣: