今年夏天发现并修补了两个漏洞,将Jenkins服务器暴露在大规模开发之下。Jenkins的服务器数以千计,甚至更多,容易受到数据盗窃、接管和攻击。这是因为黑客可以利用两个漏洞获得管理权限,或者使用这些服务器上的无效凭据登录。
这两个漏洞都是CyberArk的安全研究人员发现的,并私下向詹金斯团队报告,并在今年夏天得到了修复。尽管这两个问题都有补丁,但Jenkins仍然有数千台服务器可以在线使用。Jenkins是一个用Java构建的用于集成的web应用程序,它允许开发团队基于测试结果在代码库上运行自动化测试和命令,甚至可以自动化将新代码部署到服务器的过程。
Jenkins是许多公司IT基础架构中的一个流行组件,这些服务器在自由职业者和企业中都很受欢迎。
两个非常危险的缺陷
今年夏天,CyberArk的研究人员发现了一个漏洞,该漏洞允许攻击者提供格式不正确的登录凭证,从而导致Jenkins服务器崩溃的配置文件。从Jenkins主目录到另一个位置的xml文件。如果攻击者可以导致Jenkins服务器崩溃并重新启动,或者如果它等待服务器自己重新启动,那么Jenkins服务器将启动一个不具有安全性的默认配置文件。
在这种弱化的设置中,任何人都可以在Jenkins服务器上注册并获得管理员访问权限。有了管理员角色,攻击者就可以访问公司的私有源代码,甚至可以修改代码,以便在公司的应用程序中植入。这个单独的问题本身可能相当糟糕,但CyberArk的研究人员还发现了Jenkins的第二个bug。
Jenkins
他们说,第二个bug允许攻击者,在服务器内存中,创建短暂的用户记录,允许攻击者在短时间内,使用假用户名和凭据进行身份验证。这两个漏洞都得到了修复,第一个是在7月,第二个是在8月,但是正如我们在过去几年习惯了覆盖安全缺陷一样,并不是所有的服务器所有者,都用心安装这些安全更新。
成千上万的服务器暴露在黑客面前
斯托尔告诉我们:“除了大约7.8万个安装数字,还有一些安装在封闭网络内,无法在线访问(因此在Shodan无法看到),因此,大约7.8万个安装数字只是一个更大数字的一部分。”“同样,任何有网络接入的人都能成功实施这次攻击。”
我们用相同的Shodan引擎对10个Jenkins服务器版本的搜索查询进行了微调,这些版本都很容易受到上述漏洞的攻击。短短几分钟之内,就发现了2000多台易受攻击的Jenkins服务器,但我们相信,可以访问internet的易受攻击服务器总数甚至可能超过10000台。
今年早些时候,一个网络犯罪组织滥用了大量的旧漏洞来接管Jenkins的实例,并在他们的要求下利用它们来挖掘加密货币,在短短几个月的时间里(当时)赚了令人震惊的340万美元。很少有比这漏洞,可以被大量利用而造成更大的损害。Jenkins的服务器所有者被建议尽快修复,避免黑客在他们的服务器上自由漫游。