有补丁也没用,Jenkins还是易受攻击

有补丁也没用,Jenkins还是易受攻击

上千个Jenkins服务器容易受到数据窃取、接管和加密货币挖矿攻击。这是因为黑客可以利用两个漏洞获取管理员权限或使用这些服务器上的无效凭据登录Jenkins服务。

CyberArk的安全研究人员发现了这两个漏洞,并报告给了Jenkins团队,随后Jenkins团队修复了这两个漏洞。虽然已有补丁,但是仍有数千个Jenkins服务器易受攻击。

Jenkins是基于Java开发的一种持续集成工具,它可以让开发团队根据测试结果在代码存储库上运行自动化测试和命令,甚至可以将新代码部署到生产服务器的过程自动化。

Jenkins是许多公司IT基础架构中的一个受欢迎的组件,Jenkins非常受自由职业者和企业的欢迎。

两个非常危险的漏洞

今年夏天,CyberArk研究人员发现了一个漏洞(跟踪为CVE-2018-1999001),该漏洞可以让攻击者使用格式错误的登录凭据让Jenkins服务器将其config.xml文件从Jenkins主目录移动到另一个位置。

有补丁也没用,Jenkins还是易受攻击

如果攻击者能让Jenkins服务器崩溃并重新启动,或者如果攻击者等待服务器自行重启,那么Jenkins服务器将以默认配置启动,该配置不具备安全性。

在默认配置中,任何人都可以在Jenkins服务器上注册并获得管理员访问权限。借助管理员权限,攻击者可以访问私有企业源代码,甚至修改代码在公司应用程序中的植入后门。

这一个漏洞就能带来很严重的问题了,但Cyber​​Ark研究人员还发现了第二个Jenkins漏洞–CVE-2018-1999043。

第二个漏洞允许攻击者在服务器内存中创建短暂的用户记录,允许攻击者在短时间内使用ghost用户名和凭据进行身份验证。

这两个漏洞都已被修复,第一个在7月份,第二个在8月份,但是由于我们在过去几年已经习惯了安全漏洞,并非所有服务器所有者都愿意安装这些安全更新。

成千上万的服务器暴露给黑客

“使用这个链接,我们可以看到大约有78,000个Jenkins服务器,”Cyber​​Ark的安全研究员Nimrod Stoler 表示,“由于攻击过程中不要求攻击者登录,因此任何用户都可能受到攻击。”

“除了这78,000多台Jenkins服务器外,封闭网络中还有无法在线访问的Jenkins服务器(因此在Shodan中不可见),因此78,000个仅仅是其中一部分,”Stoler说。“同样,任何有网络访问权限的人都可以发起这种攻击。”

ZDNet使用相同的Shodan引擎来搜索查询已知的易受上述漏洞攻击的十个Jenkins服务器版本。

在几分钟内,ZDNet发现了2,000多个易受攻击的Jenkins服务器,但研究人员相信易受攻击服务器的数量可能超过10,000。

今年早些时候,一个网络犯罪集团滥用大量旧漏洞来接管Jenkins实例并滥用Jenkins实例按照他们的要求开采加密货币,在几个月的时间内窃取了价值340万美元(当时的汇率)的门罗币。

建议

采取一定的安全措施来隔离、监控和控制Jenkins主站的所有管理访问权限。

监控传入Jenkins主站的网络通信。

始终使用Jenkins网站上提供的最新版本更新Jenkins主代理和代理软件。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133406.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code