超过100个Jenkins插件的安全缺陷将企业网络置于危险之中

在过去的18个月里,一位安全研究员发现并报告了100多个Jenkins插件的安全漏洞,尽管努力通知开发人员,但这些插件中有许多还没有得到修复。

 

 

Jenkins团队在过去18个月发布了关于这些漏洞的10项安全建议,警告开发人员卸载易受攻击的扩展[1、2、3、4、5、6、7、8、9、10]。

NCC集团安全顾问Viktor Gazdag发现了所有的漏洞,所有这些漏洞都会影响Jenkins的插件,Jenkins是开发团队使用的一种常见的基于web的应用程序。

Jenkins在Java中编码,作为一个连续的集成/部署系统,允许开发团队基于测试结果运行自动化测试和执行各种操作,包括将新的应用程序和代码部署到生产服务器上。

由于其有用的测试和自动化功能,Jenkins在企业部门中非常受欢迎,尤其是在接近79,000个实例的企业部门,据Shoan说,Jenkins是一个发现互联网连接系统的搜索引擎。

与任何现代Web实用程序一样,Jenkins“标准功能集”可以通过插件扩展,类似于大多数开源项目,绝大多数Jenkins插件都是由第三方开发者创建的。

不幸的是,与当今大多数开源项目类似,开发人员无法无限期地为他们的代码提供支持,其中一些插件已经被放弃,没有人提供支持。

现在,Gazdag警告Jenkins系统的所有者,由于未修补的安全漏洞,其中一些被遗弃的插件可能最终会使企业系统面临风险,其中一些漏洞极其危险。

NCC Group的研究人员说,他发现的一些最常见的安全漏洞是,许多Jenkins插件将密码存储在配置文件中,而不是使用主Jenkins凭据文件,该文件会自动加密存储在其中的所有数据。

例如,如果设计用于将Jenkins系统与第三方技术(如数据库、MessageBroker(MQ)服务器或云提供商)互连的插件在其配置文件中加密密码失败,则管理检索此信息的攻击者可轻松访问这些系统。

此外,Gazag还发现了CSRF(跨站点请求伪造)漏洞,允许威胁行为体使用插件“"连接试验"”功能向攻击者的服务器发送凭据,SSRF(服务器端请求伪造)漏洞允许威胁行为体端口扫描和映射公司“内部网络”或“强力登录凭据”。

过去,Jenkins系统一直是加密货币挖掘僵尸网络的目标,但Gazdag发现的许多漏洞可能不适合自动攻击。

相反,这些缺陷对于侦察操作和目标攻击是理想的,许多使用Jenkins系统的公司通常会尝试避免比低重要性的加密-挖掘恶意软件感染更高的优先级。

去年,来自赛博方舟的安全研究人员还发现了两个让匿名用户成为Jenkins管理员的漏洞。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。