×
jenkins.png
Een security-onderzoeker heeft gevonden en gemelde beveiligingsfouten in meer dan 100 verschillende Jenkins plugins over de laatste 18 maanden, en ondanks de inspanningen van in kennis te stellen ontwikkelaars, veel van deze plug-ins niet hebben ontvangen een fix.
Het Jenkins-team heeft afgegeven tien beveiligingsadviezen over deze beveiligingslekken in de laatste 18 maanden een waarschuwing ontwikkelaars te verwijderen kwetsbare extensies [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
Wat is Jenkins?
NCC Group, Security Consultant Viktor Gazdag is gecrediteerd met het ontdekken van alle kwetsbaarheden, die allemaal een effect plug-ins voor Jenkins, een web-gebaseerde applicatie wordt gebruikt door ontwikkelaars teams.
Jenkins, die is geprogrammeerd in Java, werkt als een continue integratie/implementatie systeem dat toelaat de dev teams uitvoeren van geautomatiseerde testen en het uitvoeren van verschillende bewerkingen op basis van testresultaten, waaronder de implementatie van nieuwe applicaties en code voor productie servers.
Door zijn handige tests en automatisering functies, Jenkins is razend populaire –in het bedrijfsleven, in het bijzonder-met bijna 79,000 exemplaren, volgens Shodan, een zoekmachine voor het ontdekken van het internet aangesloten systemen.
Kwetsbaarheden effect plug-ins, niet Jenkins
Net als met alle moderne web nut, Jenkins’ standaard feature set kan worden uitgebreid via plug-ins, en zoals met de meeste open source-projecten, de overgrote meerderheid van Jenkins plugins zijn gemaakt door derde partij ontwikkelaars.
Helaas, vergelijkbaar met wat er gebeurt met de meeste open-source projecten tegenwoordig kunnen ontwikkelaars geen ondersteuning voor hun code voor onbepaalde tijd, en een aantal van deze plugins zijn verlaten, met niemand om ondersteuning te bieden.
Nu, Gazdag waarschuwt eigenaren van Jenkins systemen dat sommige van deze verlaten plugins kan zetten corporate systemen in gevaar, wegens de niet-gepatchte beveiligingslekken, waarvan sommige zijn extreem gevaarlijk.
De meest voorkomende kwetsbaarheden
De NCC Group onderzoeker zei dat sommige van de meest voorkomende beveiligingsprobleem hij vond dat veel Jenkins plugins opgeslagen wachtwoorden in leesbare vorm in hun configuratie bestanden, eerder dan gebruik te maken van de belangrijkste Jenkins credentials.xml bestand die automatisch versleutelt alle gegevens die zijn opgeslagen in het.
Bijvoorbeeld, als een plug-in ontworpen om te worden verbonden Jenkins systemen met technologie van derden, zoals een database, een message broker (MQ) server, of een cloud provider, niet voor het coderen van het wachtwoord in het config-bestand, een aanvaller die erin slaagde om deze informatie te halen zou worden verleend gemakkelijk toegang tot deze systemen.
Bovendien Gazdag ook gevonden CSRF (Cross-Site Request Forgery) gebreken die zijn toegestaan dreigingen om plugins te gebruiken’ “verbinding testen” functies voor verzenden van de referenties voor een aanvaller de server, en SSRF (Server-Side Request Forgery) gebreken die zijn toegestaan dreigingen te port-scan en kaart van bedrijven interne netwerken, of brute-force login gegevens.
In het verleden, Jenkins systemen zijn het doelwit van cryptocurrency-winning van botnets, maar veel van de beveiligingsproblemen Gazdag ontdekt zijn mogelijk niet geschikt voor geautomatiseerde aanvallen.
In plaats daarvan, deze fouten zijn ideaal voor verkenning activiteiten en gerichte aanvallen, die veel van de bedrijven die gebruik maken van Jenkins systemen doorgaans proberen te vermijden met een hogere prioriteit heeft dan de lage-belang crypto-mijnbouw malware infectie.
Vorig jaar, security onderzoekers van CyberArk vond ook twee kwetsbaarheden die laat anonieme gebruikers worden Jenkins admins.
Meer kwetsbaarheid rapporten:
Dell-laptops en computers kwetsbaar voor externe hijacksMobile app gebruikt in Car2go fraude regeling te stelen 100 voertuigen
Lek stelt aanvallers herstellen van de private sleutels van Qualcomm chipsNew Oracle WebLogic zero-day ontdekt in de wildNokia 9 buggy update laat iedereen bypass vingerafdruk scanner met een pack van gumOver twee miljoen IoT apparaten kwetsbaar omdat het P2P-component flawsKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters