Zero
Migliaia, se non di più, Jenkins server sono vulnerabili al furto di dati, acquisizione e cryptocurrency di data mining attacchi. Questo perché gli hacker possono sfruttare due vulnerabilità di ottenere diritti di amministratore o il login utilizzando le credenziali non sono valide su questi server.
Entrambe le vulnerabilità sono state scoperte dai ricercatori di sicurezza da CyberArk, sono state segnalate privatamente a Jenkins di squadra, e ha ricevuto correzioni durante l’estate. Ma nonostante le patch per entrambe le questioni, ci sono ancora migliaia di Jenkins server disponibili online.
Jenkins è un’applicazione web per l’integrazione continua costruito in Java che permette ai team di sviluppo di eseguire test automatizzati e comandi sul repository di codice basato su risultati di test, e anche automatizzare il processo di distribuzione del nuovo codice per il server di produzione.
Jenkins è un componente popolare in molte aziende e infrastrutture di questi server sono molto popolari con entrambi i liberi professionisti e le aziende.
Due molto pericoloso difetti
Durante l’estate, CyberArk i ricercatori hanno scoperto una vulnerabilità (registrata come CVE-2018-1999001) che permette un hacker di fornire non valido credenziali di accesso che causano Jenkins server di spostare i loro config.xml file da Jenkins home directory a un’altra posizione.
Se un utente malintenzionato può causare la Jenkins server crash e si riavvia, o se egli aspetta il riavvio del server, la Jenkins server, quindi, gli stivali, in una configurazione di default che dispone di alcuna protezione.
In questa forma di installazione, chiunque può registrarsi sul Jenkins server e ottenere l’accesso come amministratore. Con un ruolo di amministratore in mano, un utente malintenzionato può accedere da parte di aziende private codice sorgente, o anche di apportare modifiche al codice di impianto di backdoor in una società apps.
Quest’unico problema sarebbe stato abbastanza brutto, ma CyberArk ricercatori hanno anche scoperto un secondo Jenkins vulnerabilità –CVE-2018-1999043.
Questo secondo bug, hanno detto, ha permesso a un utente malintenzionato di creare effimera record utente nella memoria del server, per consentire a un utente malintenzionato di un breve periodo, quando si può autenticare usando ghost nomi utente e le credenziali.
Entrambe le vulnerabilità sono stati risolti, il primo nel mese di luglio e la seconda nel mese di agosto, ma, come abbiamo ottenuto abituati in questi ultimi anni di coprire le falle di sicurezza, non tutti i proprietari dei server sono presi la briga di installare questi aggiornamenti di sicurezza.
Migliaia di server esposti agli attacchi degli hacker
“Tramite questo link, si può vedere ci sono quasi totale di 78.000 online Jenkins installazioni,” Nimrod Stoler, un ricercatore di sicurezza con CyberArk, ha detto a ZDNet in una e-mail. “Dal momento che il nostro attacco esempio non richiede all’utente malintenzionato di essere registrato in uno qualsiasi di questi potrebbe essere stato attaccato.”
“In cima a circa 78.000 abitanti numero di installazione, ci sono anche le installazioni all’interno di reti chiuse che non possono essere consultati on-line (e quindi non visibile da Shodan), quindi circa 78.000 abitanti numero è solo un pezzo del più grande numero di” Stoler ci ha detto. “Ancora una volta, chiunque abbia accesso alla rete possono tirare fuori questo tipo di attacco.”
ZDNet ha usato la stessa Shodan motore per ottimizzare le query di ricerca per una decina di Jenkins server versioni noto per essere vulnerabili al di sopra di vulnerabilità.
In pochi minuti, ZDNet è stato in grado di scoprire oltre 2.000 vulnerabili Jenkins server, ma crediamo che il numero totale di accesso a Internet server vulnerabile potrebbe anche andare oltre 10.000.
All’inizio di quest’anno, un cyber-criminale gruppo abusato di una moltitudine di anziani vulnerabilità di prendere in consegna Jenkins istanze e di abusare di loro al mio cryptocurrency al loro volere, guadagnando un incredibile $3,4 milioni vale la pena di Monero (al momento) nel giro di pochi mesi.
Raramente si vede una più perfetta serie di vulnerabilità che possono essere sfruttate in massa con danni estesi. Jenkins server proprietari sono invitati a patch il più presto possibile per evitare di dover hacker vagare attraverso i loro server.
CyberArk i ricercatori hanno anche pubblicato una relazione tecnica di dettaglio il funzionamento interno di questi due difetti di questa settimana.
Più copertura di sicurezza:
Facebook bug esposto le foto private di 6,8 milioni di utenti diLogitech app falla di sicurezza ha permesso di battitura attacchiSQLite bug impatti migliaia di applicazioni, tra cui tutti Chromium-browser basato suBing consiglia di pirateria esercitazione durante la ricerca per l’Ufficio 2019Shamoon malware distrugge i dati italiani della compagnia petrolifera e del gasCome attivare spam filtro chiamate sul tuo telefono Android TechRepublicNuovo antiphishing funzionalità di Google G Suite CNET‘Bomba’ sono dei truffatori che ora minacciano di gettare acido in materia di vittime
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0