×
jenkins.png
En sikkerheds-forsker har fundet og rapporteret sikkerhedshuller i mere end 100 forskellige Jenkins plugins i løbet af de sidste 18 måneder, og på trods af bestræbelser på at informere udviklere, mange af disse plugins har ikke modtaget en rettelse.
Jenkins team har udstedt ti sikkerhedsbulletiner, om disse sårbarheder i de sidste 18 måneder, advarsel for udviklere at afinstallere sårbare udvidelser [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
Hvad er Jenkins?
NCC-Koncernen Sikkerhed Konsulent Viktor Gazdag er krediteret med at udforske alle de sårbarheder, som alle, der har indvirkning plugins til Jenkins, en fælles web-baseret applikation, der anvendes af udvikler-teams.
Jenkins, som er kodet i Java, fungerer som en kontinuerlig integration/deployment system, der tillader dev teams til at køre automatiserede tests og udføre forskellige operationer, der er baseret på test resultater, herunder implementering af nye apps og kode for at produktionen servere.
På grund af dens nyttige test og automatisering funktioner, Jenkins er vildt populære-i erhvervslivet, især– med næsten 79,000 tilfælde, i henhold til Shodan, en søgemaskine for at opdage internet-tilsluttede systemer.
Sårbarheder indvirkning plugins, ikke Jenkins
Ligesom med alle moderne web-værktøj, Jenkins’ standard-funktionen, der kan udvides via plugins, og som med de fleste open-source-projekter, er størstedelen af Jenkins plugins er blevet skabt af tredjeparts-udviklere.
Desværre, der svarer til, hvad der sker med de fleste open-source-projekter i dag, udviklere ikke kan give støtte til deres kode på ubestemt tid, og nogle af disse plugins er blevet forladt, med ingen tilbage til at yde støtte.
Nu, Gazdag er advarsel ejere af Jenkins systemer, at nogle af disse forladte plugins kan ende med at sætte virksomhedens systemer i fare, på grund af unpatched sikkerhedshuller, hvoraf nogle er yderst farligt.
De mest almindelige sårbarheder
NCC-Koncernen forsker sagde, at nogle af de mest almindelige sikkerhed fejl, han opdagede, var, at mange Jenkins plugins, der er gemt passwords i klartekst inde i deres konfigurationsfiler, i stedet for at bruge de vigtigste Jenkins credentials.xml filen, som automatisk krypterer alle data, der er gemt inde i den.
For eksempel, hvis et plugin er designet til at sammenkoble Jenkins systemer med tredjeparts-teknologi, som en database, et budskab (MQ) server eller en cloud-udbyder, har undladt at kryptere password inde i sin config fil, en hacker, som har formået at hente denne information vil blive givet let adgang til disse systemer.
Desuden Gazdag også fundet CSRF (Cross-Site Request Forgery) fejl, der tillod trussel aktører til at bruge plugins’ “test forbindelse” funktioner til at sende oplysninger til hackerens server, og SSRF (Server-Side Request Forgery) fejl, der tillod trussel aktører til port-scanning og kort virksomhedernes interne netværk, eller brute-force login-legitimationsoplysninger.
I fortiden, Jenkins-systemer har været ramt af cryptocurrency-mining botnets, men mange af de sårbarheder Gazdag opdagede, må ikke være egnet til automatiserede angreb.
I stedet, disse fejl er ideel for rekognoscerings-operationer og målrettede angreb, som mange af de virksomheder, der bruger Jenkins systemer, der normalt forsøger at undgå med en højere prioritet end en lav vægt crypto-mining malware-infektion.
Sidste år, sikkerhed forskere fra CyberArk også fundet to sårbarheder, at lade anonyme brugere blive Jenkins admins.
Mere sårbarhed rapporter:
Dell laptops og computere sårbare over for ekstern hijacksMobile app, der bruges i Car2go bedrageri for at stjæle 100 køretøjer
Sikkerhedshul lader angribere gendanne private nøgler fra Qualcomm chipsNew Oracle WebLogic nul-dag opdagede i wildNokia 9 buggy opdatering lader nogen bypass fingerprint-scanner med en pakke af gumOver to millioner enheder, tingenes internet sårbare på grund af P2P-komponent flawsKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre