Jenkins漏洞可致匿名用户成为服务器管理员

2018-12-17 09:29:50 0 5067

据报道,在夏季,Cyber​​Ark安全研究人员发现两个Jenkins漏洞——可让攻击者匿名访问且获得管理员权限,虽然两个漏洞都有补丁,但大量管理员并未修补,现存大量有漏洞的服务器。



黑客可利用两个Jenkins漏洞获得Jenkins服务器上的管理员权限,对服务器上的数据进行窃取,或进行挖矿。

这两个漏洞都是由Cyber​​Ark的安全研究人员发现的,已向Jenkins团队报告,并在今年夏天得到修复。虽然两个漏洞都有补丁,大量Jenkins服务器仍可受攻击。

Jenkins是一个用Java构建的持续集成Web应用程序,它允许开发团队根据测试结果在代码存储库上运行自动化测试和命令,甚至可以自动化将新代码部署到生产服务器。Jenkins是许多公司IT基础架构中受欢迎的组件,很受大家喜爱。

两个非常危险的漏洞
今年夏天,Cyber​​Ark的研究人员发现了一个漏洞(CVE-2018-1999001),该漏洞是Jenkins 配置文件路径改动导致管理员权限开放漏洞。远程且未经授权的攻击者可以通过构造恶意登录凭证,从 Jenkins 主目录下移除 config.xml 配置文件到其他目录,从而导致 Jenkins 服务下次重启时退回 legacy 模式,对匿名用户也会开放管理员权限。

在这种具有配置漏洞的情况下,任何人都可以在Jenkins服务器上注册并获得管理员访问权限。借助管理员角色,攻击者可以访问企业私有源码,甚至可以在公司应用程序植入后门。

这个单独的问题本身就很糟糕,Cyber​​Ark研究人员又发现了第二个Jenkins漏洞--CVE-2018-1999043。他们说,第二个漏洞允许攻击者在服务器内存中创建短暂的用户记录,允许攻击者在短时间内使用无效凭据进行身份验证。这两个漏洞都是固定的,第一个在7月份,第二个在8月份。由于很多人已经习惯忽略安全漏洞,服务器管理员也就忽略安装这些安全更新。

成千上万的服务器暴露给黑客

“使用Shodan搜索,可以看到有大约78,000个Jenkins服务器”,Cyber​​Ark的安全研究员Nimrod Stoler 在一封电子邮件中告诉ZDNet。“由于攻击过程不需要攻击者登录,因此任何有漏洞的服务器都可能受到攻击。”

“除了大约78,000个公网上的服务,还有很多不能访问的内网服务(在Shodan中不可见),因此78,000这个数字只是冰山一角”,Stoler告诉我们。“同样,任何有网络访问权限的人都可以解除这种攻击。”

ZDNet使用相同的Shodan语法搜索具有漏洞的Jenkins服务器,结果发现了很多。建议Jenkins服务器管理员尽快修补,避免让黑客漫游具有漏洞的服务器。

Cyber​​Ark研究人员还发布了一份技术报告(https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/),详细介绍了这两个漏洞情况。

关于作者

D_D952761篇文章465篇回复

评论0次

要评论?请先  登录  或  注册