Тысячи серверов Jenkins по-прежнему уязвимы перед багами, позволяющими любому стать админом - «Новости»

Xakep #236. FPGA

• Содержание выпуска


• Подписка на «Хакер»

Прошедшим летом специалисты компании CyberArk выявили две опасных уязвимости в составе Jenkins, популярнейшего решения предназначенного для обеспечения процесса непрерывной интеграции ПО. Оба бага были устранены все тем же летом, однако специалисты предупреждают, что в сети по-прежнему можно найти тысячи уязвимых серверов.

Первая обнаруженная аналитиками CyberArk проблема получила идентификатор  CVE-2018-1999001. Уязвимость позволяет атакующему использовать вредоносные учетные данные, из-за чего файл config.xml на уязвимом сервере может быть  перемещен в другое место. Проблема осложняет тем, что после «падения» и перезагрузки сервер Jenkins запуститься с дефолтными настройками, что означает практически полное отсутствие безопасности. Кто угодно может воспользоваться этим обстоятельством и получить на уязвимом сервере доступ администратора.

Второй найденный специалистами баг — это CVE-2018-1999043. Данная проблема позволяет атакующему создать в памяти сервера временного пользователя. В течение короткого периода время эта «личина» может использовать для прохождения аутентификации.

Исследователи предупреждают: несмотря на выход патчей множество администраторов до сих пор не потрудились исправить проблемы на своих Jenkins-серверах. Так, простой поиск через Shodan обнаруживает в интернете около 78 000 серверов Jenkins, и специалисты отмечают, что еще множество установок «не видно» из интернета, но до них тоже вполне могут добраться злоумышленники.

Ранее в этом году преступники уже использовали исправленную уязвимость в Jenkins и с помощью не обновившихся серверов добыли более 10 800 Monero, то есть больше 3 000 000 долларов по курсу на тот момент. Эксперты CyberArk предупреждают, что найденные ими баги тоже могут быть использованы для подобных атак и призывают устанавливать патчи своевременно.