Nul
Tusinder, hvis ikke mere, Jenkins servere er sårbare over for tyveri af data, overtagelse, og cryptocurrency minedrift angreb. Dette skyldes, at hackere kan udnytte sårbarheder til at få admin rettigheder eller log ind med ugyldige legitimationsoplysninger på disse servere.
Begge sårbarheder blev opdaget af sikkerhedseksperter fra CyberArk, var privat rapporterede, at Jenkins team, og rettelser, der modtages i løbet af sommeren. Men på trods af patches til både spørgsmål, der er stadig tusindvis af Jenkins servere til rådighed online.
Jenkins er en web-applikation til kontinuerlig integration bygget i Java, der tillader udvikling af teams til at køre automatiserede tests og kommandoer på kode repositorier, der er baseret på test resultater, og endda automatisere processen med implementering af nye kode til produktion af servere.
Jenkins er et populært element i mange virksomheders IT-infrastruktur, og disse servere er meget populære hos både freelancere og virksomheder.
To meget farlige fejl
I løbet af sommeren, CyberArk forskere har opdaget en sårbarhed (registreret som CVE-2018-1999001), der gør det muligt for en hacker at give misdannede login-legitimationsoplysninger, der forårsager Jenkins servere til at flytte deres config.xml fil fra Jenkins hjem mappe til en anden placering.
Hvis en hacker kan forårsage Jenkins serveren til at gå ned og og genstarter, eller hvis han venter til serveren for at genstarte på sin egen, Jenkins-server, så er støvler i en standard konfiguration, der har ingen sikkerhed.
I denne svækkede setup, alle kan registrere på den Jenkins server og få administrator-adgang. Med en administrator rolle i hånd, kan en hacker kan få adgang til private kilde kode, eller selv foretage kodeændringer at plante bagdøre i virksomhedens apps.
Dette lone spørgsmål ville have været helt dårligt på sin egen, men CyberArk forskerne opdagede også en anden Jenkins sårbarhed –CVE-2018-1999043.
Denne anden fejl, de sagde, tilladt for en hacker at oprette midlertidige brugeren poster i serverens hukommelse, giver en hacker mulighed for en kort periode, hvor de kunne godkende ved hjælp af ghost brugernavne, og brugernavne.
Begge sårbarheder blev fastsat, var det først i juli og anden gang i August, men da vi har fået vant til i de sidste par år for at dække sikkerhedshuller, og ikke alle server-ejere har gidet at installere disse sikkerhedsopdateringer.
Tusindvis af servere, der er udsat for hackere
“Ved hjælp af dette link, kan vi se, at der er tæt på 78.000 i alt online Jenkins anlæg,” Nimrod Stoler, en sikkerhedsekspert med CyberArk, fortalte ZDNet i en e-mail. “Da vores angreb eksempel ikke kræver, at angriberen skal være logget ind, en af disse kunne have været angrebet.”
“På toppen af nogenlunde på 78.000 installation nummer, der er også anlæg i lukkede netværk, der ikke kan læses online (og dermed ikke synlige i Shodan), så den nogenlunde på 78.000 antallet er kun en brik i større antal,” Stoler fortalte os. “Igen, alle med netværksadgang kan trække fra dette angreb.”
ZDNet har brugt den samme Shodan motor til at finjustere søgningen til ti Jenkins server-versioner kendt for at være sårbare over for de ovennævnte svagheder.
Inden for et par minutter, ZDNet var i stand til at opdage over 2.000 sårbare Jenkins servere, men vi mener, at det samlede antal af Internet-adgang sårbare servere kan måske endda gå over 10.000.
Tidligere dette år, en it-kriminel gruppe, der har misbrugt en lang række ældre sårbarheder til at tage over Jenkins tilfælde og misbruge dem til mine cryptocurrency på deres foranledning, tjener en forbløffende $3,4 millioner værd af Monero (på det tidspunkt) i løbet af et par måneder.
Sjældent vil du se en mere perfekt sæt af sårbarheder, der kan udnyttes i massevis med omfattende skader. Jenkins server ejerne rådes til at patch så hurtigt som muligt og undgå, at hackere strejfe frit via deres servere.
CyberArk forskere har også offentliggjort en teknisk rapport, der beskriver de indre funktioner af disse to fejl i denne uge.
Mere sikkerhed dækning:
Facebook bug er udsat private fotos af 6,8 millioner brugereLogitech app sikkerhedshul tilladt tastetryk injektion angrebSQLite fejl virkninger tusindvis af apps, herunder alle Chromium-baserede browsere,Bing anbefaler piratkopiering tutorial, når du søger efter Office 2019Shamoon malware ødelægger data på italiensk olie-og gasselskab, Hvordan du aktiverer spam ringe filtrering på din Android-telefon TechRepublicNye antiphishing funktioner kommer til Google G-Suite CNET‘Bombe trussel” svindlere er nu truer med at kaste syre på ofre
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0