×
jenkins.png
Un ricercatore di sicurezza ha trovato e segnalato le falle di sicurezza in più di 100 diversi Jenkins plugins negli ultimi 18 mesi, e nonostante gli sforzi per informare gli sviluppatori, molti di questi plugin non hanno ricevuto una correzione.
La Jenkins team ha rilasciato dieci avvisi di sicurezza su queste vulnerabilità negli ultimi 18 mesi, con l’avvertimento agli sviluppatori di disinstallare estensioni vulnerabili [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
Che cosa è Jenkins?
NCC Group Consulente di Sicurezza Viktor Gazdag è accreditato con la scoperta di tutte le vulnerabilità, che impatto plugin per Jenkins, una comune applicazione web-based utilizzato da sviluppatori di team.
Jenkins, che è codificato in Java, funziona come una continua integrazione/sistema di distribuzione che permette dev team per eseguire test automatizzati e di eseguire varie operazioni basate su risultati di test, tra cui la distribuzione di nuove applicazioni e il codice per il server di produzione.
A causa della sua utili i test e le funzionalità di automazione, Jenkins è selvaggiamente popolare-nel settore delle imprese, in particolare-con circa 79,000 istanze, secondo Shodan, un motore di ricerca per scoprire sistemi connessi a internet.
Vulnerabilità impatto plugin, non Jenkins
Proprio come con qualsiasi moderno utilità web, Jenkins serie di funzionalità standard può essere estesa tramite plugin, e come con la maggior parte dei progetti open-source, la stragrande maggioranza di Jenkins plugin sono stati creati da sviluppatori di terze parti.
Purtroppo, simile a quello che accade con la maggior parte dei progetti open-source al giorno d’oggi, gli sviluppatori non possono fornire il supporto per la loro codice a tempo indeterminato, e alcuni di questi plugin sono stati abbandonati, con nessuno a sinistra per fornire supporto.
Ora, Gazdag l’attenzione dei proprietari di Jenkins sistemi che alcuni di questi abbandonati plugin può finire per mettere sistemi aziendali a rischio, a causa di patch di sicurezza di difetti, alcuni dei quali sono estremamente pericolosi.
La vulnerabilità più comuni
NCC Group ricercatore ha detto che alcuni dei più comuni falla di sicurezza che ha trovato era che molti Jenkins plugin le password memorizzate in chiaro all’interno i file di configurazione, piuttosto che utilizzare i principali Jenkins credentials.xml file, che codifica automaticamente tutti i dati memorizzati al suo interno.
Per esempio, se un plugin progettato per l’interconnessione di Jenkins sistemi con tecnologia di terze parti, come un database, un broker di messaggi (MQ) server, o un fornitore di servizi cloud, non è riuscito a crittografare le password all’interno del suo file di configurazione, un hacker che è riuscito a recuperare questa informazione sarebbe concesso un facile accesso a tali sistemi.
Inoltre, Gazdag anche trovato CSRF (Cross Site Request Forgery) difetti che ha permesso minaccia attori per utilizzare il plugin “test di connessione” funzioni per l’invio di credenziali di un utente malintenzionato server, e SSRF (Lato Server Request Forgery) difetti che ha permesso minaccia attori di port-scan e mappa delle imprese di reti interne, o forza bruta credenziali di accesso.
In passato, Jenkins sistemi sono stati presi di mira da cryptocurrency-mining botnet, ma molte delle vulnerabilità Gazdag scoperto potrebbe non essere adatto per attacchi automatizzati.
Invece, questi difetti sono l’ideale per le operazioni di riconoscimento e attacchi mirati, che molte delle aziende che utilizzano Jenkins sistemi di solito cerco di evitare con una priorità maggiore rispetto ad una bassa importanza crypto-mining infezione da malware.
L’anno scorso, i ricercatori di sicurezza di CyberArk anche trovato due vulnerabilità che consentono agli utenti anonimi di diventare Jenkins amministratori.
Più vulnerabilità di report:
Dell computer portatili e computer vulnerabile a remoto hijacksMobile app utilizzata in Car2go schema di frode per rubare 100 veicoli
Falla di sicurezza consente agli aggressori di recuperare le chiavi private da Qualcomm chipsNew Oracle WebLogic zero-day scoperta nel wildNokia 9 buggy aggiornamento consente a chiunque di bypassare scanner di impronte digitali con un pacchetto di gumOver due milioni di dispositivi IoT vulnerabili a causa del P2P componente flawsKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati