×
jenkins.png
En säkerhetsforskare har hittat och rapporterade säkerhetsbrister i mer än 100 olika Jenkins plugins under de senaste 18 månaderna, och trots ansträngningar för att meddela utvecklare, många av dessa plugins har inte fått en fix.
Jenkins laget har utfärdat tio säkerhetsbulletiner om dessa sårbarheter under de senaste 18 månaderna, varning för utvecklare att avinstallera utsatta tillägg [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
Vad är Jenkins?
NCC-Koncernen Säkerhet Konsult Viktor Gazdag krediteras med att upptäcka alla sårbarheter, av vilka alla påverkar plugins för Jenkins, en gemensam web-baserat program som används av utvecklare team.
Jenkins, som är kodat i Java, som fungerar som en kontinuerlig integration/distribution system som gör att dev team att köra automatiserade tester och utföra olika operationer som bygger på testresultat, inklusive användning av nya program och kod för att produktionen servrar.
På grund av dess användbart för testning och funktioner automation, Jenkins är omåttligt populära-i företagssektorn, framför allt– med nästan 79 000 fall, enligt Shodan, en sökmotor för dig som vill upptäcka internet-anslutna system.
Sårbarheter inverkan plugins, inte Jenkins
Precis som med alla moderna web-verktyg, Jenkins’ standard funktionen som kan utökas via plugins, och som med de flesta open-source-projekt, den stora majoriteten av Jenkins plugins har skapats av utvecklare från tredje part.
Tyvärr, liknande vad som händer med de flesta open-source-projekt idag, utvecklare inte kan ge stöd för deras kod på obestämd tid, och några av dessa plugins har blivit övergivna, med ingen kvar för att ge stöd.
Nu, Gazdag är varning ägare av Jenkins system som vissa av dessa övergivna plugins kan hamna sätta företagens system riskerar, på grund av okorrigerad säkerheten brister, varav några är oerhört farligt.
De vanligaste sårbarheterna
NCC-Koncernen forskare sade att några av de vanligaste säkerhetsbrist han fann var att många Jenkins plugins sparade lösenord i klartext inne i deras konfigurationsfiler, snarare än att använda de viktigaste Jenkins credentials.xml filen, som automatiskt krypterar all data som lagras i den.
Till exempel, om en plugin för att koppla samman Jenkins system med tredje part teknik, som en databas, en message broker (MQ) – server eller en molnleverantör, inte för att kryptera lösenord i sin config-fil, en angripare som förvaltas för att hämta denna information skulle beviljas enkel tillgång till dessa system.
Dessutom, Gazdag fann också CSRF (Cross-Site Request Forgery) brister som tillät hot aktörer att använda plugins”, “connection test” – funktionerna för att skicka referenser till angriparens server, och SSRF (Server-Side-Request Forgery) brister som tillät hot aktörer till port-scan och karta företagens interna nätverk, eller brute-force inloggningsuppgifter.
I det förflutna, Jenkins system har varit föremål för cryptocurrency-utvinning av botnät, men många av de sårbarheter Gazdag upptäckte får inte vara lämplig för automatiserade attacker.
I stället dessa brister är perfekt för spaningsuppdrag verksamhet och riktade attacker, som många av de företag som använder Jenkins system brukar försöka att undvika med högre prioritet än en låg vikt crypto-gruv-malware infektion.
Förra året, säkerhet forskare från CyberArk hittade också två säkerhetsproblem som kan anonyma användare blivit Jenkins admins.
Mer sårbarhet rapporter:
Dells bärbara datorer och datorer sårbara för avlägsen hijacksMobile app som används i Car2go bedrägeri system att stjäla 100 fordon
Säkerhetsbrist låter angripare återhämta sig privata nycklar från Qualcomm chipsNew Oracle WebLogic noll-dag upptäckte i wildNokia 9 buggy uppdateringen låter vem som helst bypass fingeravtrycksläsare med ett pack gumOver två miljoner IoT enheter sårbara på grund av P2P-komponent flawsKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter