Jenkins服务器允许匿名用户成为管理员

服务器
今年夏天发现并修补了两个漏洞,将Jenkins服务器暴露在大规模开发之下。Jenkins的服务器数以千计,甚至更多,容易受到数据盗窃、接管和攻击。这是因为黑客可以利用两个漏洞获得管理权限,或者使用这些服务器上的无效凭据登录。

今年夏天发现并修补了两个漏洞,将Jenkins服务器暴露在大规模开发之下。Jenkins的服务器数以千计,甚至更多,容易受到数据盗窃、接管和攻击。这是因为黑客可以利用两个漏洞获得管理权限,或者使用这些服务器上的无效凭据登录。

这两个漏洞都是CyberArk的安全研究人员发现的,并私下向詹金斯团队报告,并在今年夏天得到了修复。尽管这两个问题都有补丁,但Jenkins仍然有数千台服务器可以在线使用。Jenkins是一个用Java构建的用于集成的web应用程序,它允许开发团队基于测试结果在代码库上运行自动化测试和命令,甚至可以自动化将新代码部署到服务器的过程。

[[252890]]

Jenkins是许多公司IT基础架构中的一个流行组件,这些服务器在自由职业者和企业中都很受欢迎。

两个非常危险的缺陷

今年夏天,CyberArk的研究人员发现了一个漏洞,该漏洞允许攻击者提供格式不正确的登录凭证,从而导致Jenkins服务器崩溃的配置文件。从Jenkins主目录到另一个位置的xml文件。如果攻击者可以导致Jenkins服务器崩溃并重新启动,或者如果它等待服务器自己重新启动,那么Jenkins服务器将启动一个不具有安全性的默认配置文件。

在这种弱化的设置中,任何人都可以在Jenkins服务器上注册并获得管理员访问权限。有了管理员角色,攻击者就可以访问公司的私有源代码,甚至可以修改代码,以便在公司的应用程序中植入。这个单独的问题本身可能相当糟糕,但CyberArk的研究人员还发现了Jenkins的第二个bug。

Jenkins

他们说,第二个bug允许攻击者,在服务器内存中,创建短暂的用户记录,允许攻击者在短时间内,使用假用户名和凭据进行身份验证。这两个漏洞都得到了修复,第一个是在7月,第二个是在8月,但是正如我们在过去几年习惯了覆盖安全缺陷一样,并不是所有的服务器所有者,都用心安装这些安全更新。

成千上万的服务器暴露在黑客面前

斯托尔告诉我们:“除了大约7.8万个安装数字,还有一些安装在封闭网络内,无法在线访问(因此在Shodan无法看到),因此,大约7.8万个安装数字只是一个更大数字的一部分。”“同样,任何有网络接入的人都能成功实施这次攻击。”

我们用相同的Shodan引擎对10个Jenkins服务器版本的搜索查询进行了微调,这些版本都很容易受到上述漏洞的攻击。短短几分钟之内,就发现了2000多台易受攻击的Jenkins服务器,但我们相信,可以访问internet的易受攻击服务器总数甚至可能超过10000台。

今年早些时候,一个网络犯罪组织滥用了大量的旧漏洞来接管Jenkins的实例,并在他们的要求下利用它们来挖掘加密货币,在短短几个月的时间里(当时)赚了令人震惊的340万美元。很少有比这漏洞,可以被大量利用而造成更大的损害。Jenkins的服务器所有者被建议尽快修复,避免黑客在他们的服务器上自由漫游。

责任编辑:武晓燕 来源: 今日头条
相关推荐

2013-04-08 10:47:33

邮件服务器管理电子邮件

2014-06-06 13:59:52

服务器管理员PowerShell

2014-05-30 11:14:11

JournaldLinux服务器

2019-09-01 23:20:10

无服务器计算无服务器数据中心

2012-10-22 13:30:35

2014-02-28 14:22:14

SDN服务器

2013-05-24 10:33:01

服务器宕机系统管理员

2011-11-11 18:55:21

2010-08-31 15:04:39

2015-03-11 14:15:07

微软Azure创建私有云基础设施即服务

2011-09-29 10:04:24

2015-07-27 16:46:16

微分割服务器

2012-04-13 09:28:04

IT管理员数据断流服务器

2010-08-03 10:28:32

管理员服务器

2012-10-22 13:46:27

2011-11-02 13:43:31

苹果iCloud云计算

2019-07-17 17:00:29

数据库数据库管理员DBA

2011-04-01 10:07:55

虚拟化

2010-01-12 12:07:31

服务器网络安全

2010-04-27 19:21:50

Windows Ser
点赞
收藏

51CTO技术栈公众号