Atlassian Confluence vient récemment de révéler le piratage du serveur interne du projet Jenkins qui exploite Monero.

Des pirates informatiques exploitant la vulnérabilité d’exécution de code à distance d’Atlassian Confluence récemment révélée ont violé un serveur interne du projet Jenkins.

Quoique l’attaque soit préoccupante, il n’y a aucune raison que les versions du projet, les plugins ou le code aient été affectés. Jenkins est un serveur open source populaire pour automatiser certaines parties du développement logiciel.

Lire aussi : Bug de confidentialité pour Monero

Bien que Jenkins n’ait aucune preuve que les informations d’identification des développeurs aient été exfiltrées lors de l’attaque, il prend des mesures. L’équipe a annoncé avoir réinitialisé les mots de passe de tous les comptes du système d’identité intégré.

Jenkins affirme que son équipe d’infrastructure a désactivé le serveur Confluence pour de bon. En outre, il a fait pivoter les informations d’identification privilégiées et a pris des mesures proactives pour limiter davantage l’accès à l’ensemble de son organisation.

Selon l’avis de sécurité d’Atlassian , la vulnérabilité CVE-2021-26084 affecte les versions Confluence Server et Data Center antérieures à la version 6.13.23, à partir de la version 6.14.0 antérieure à 7.4.11, à partir de la version 7.5.0 antérieure à 7.11.6 et à partir de la version 7.12 .0 avant 7.12.5.

Confluence vulnérable pour le minage de Monero

La vulnérabilité Confluence RCE suivie comme CVE-2021-26084 est un problème d’injection OGNL qui permet à un utilisateur authentifié, et dans certains cas à un utilisateur non authentifié, d’exécuter du code arbitraire sur une instance Confluence Server ou Data Center.

Le 3 Septembre dernier, le Cyber Command américain (USCYBERCOM ) a publié un avertissement encourageant les entreprises américaines à patcher une Confluence Atlassian massivement le plus rapidement possible.

Les administrateurs Confluence pour l’exploitation de Monero restent prudents

Comme BleepingComputer l’a signalé la semaine dernière, les acteurs de la menace ont commencé à rechercher des instances Atlassian Confluence vulnérables pour installer des mineurs de cryptomonnaie.

Alors que de nombreux attaquants ont utilisé l’exploit pour installer le minage de cryptomonnaie open source et multiplateforme XMRig Monero, ils pourraient également exploiter la vulnérabilité pour des attaques plus dommageables.

Lire aussi : Monero cible parfaite pour les cryptojacker

La semaine dernière, les administrateurs du projet Jenkins ont découvert qu’un de leurs serveurs Confluence obsolètes avait été victime d’une de ces attaques.

Jusqu’à présent dans notre enquête, nous avons appris que l’exploit Confluence CVE-2021-26084 a été utilisé pour installer ce que nous pensons être un mineur Monero dans le conteneur exécutant le service. À partir de là, un attaquant ne serait pas en mesure d’accéder à une grande partie de nos autres infrastructures – Mark Waite , responsable de la documentation de Jenkins

Bien qu’il n’y ait aucune preuve suggérant que l’attaquant a volé les informations d’identification du développeur, les chefs de projet Jenkins sont prudents et ont réinitialisé les mots de passe pour tous les comptes du système d’identité intégré qui comprenait également le service Confluence obsolète.

Les administrateurs ont également déclaré qu’ils « prenaient des mesures pour empêcher les versions en ce moment jusqu’à ce que nous rétablissions une chaîne de confiance avec notre communauté de développeurs ». Le service Confluence concerné n’est plus actif et les informations d’identification privilégiées ont été alternées.

CVE-2021-26084 est une vulnérabilité d’exécution de code à distance dans Atlassian Confluence qui peut être exploitée sans authentification. Des nouvelles à ce sujet sont apparues le 25 août, lorsque la société a publié un avis de sécurité.