未打补丁Jenkins服务器极易遭受攻击

漏洞预警| 未打补丁Jenkins服务器极易遭受攻击

2018-12-17

事件来源

2018年12月16日晚，ZDNet发布了一篇文章，指明今年夏天发现和修补的两个漏洞使Jenkins服务器遭到大规模攻击。山石安服团队经过分析还原了漏洞利用过程，紧急通告此未引起关注的安全问题。

漏洞描述

Jenkins是一款由Java编写的开源的持续集成工具，提供了软件开发的持续集成服务，应用及其广泛。fofa.so统计有201,056 条匹配结果，zoomeye.org统计有1,029,639 条结果。

根据ZDNet的文章和CyberArk公司的技术分析报告（见参考链接），黑客可以通过两个已知的Jenkins漏洞（CVE-2018-1999001和CVE-2018-1999043），获得Jenkins服务的管理员访问权限，进一步通过管理员权限可以获得服务器权限，访问私有企业源代码，甚至可以对公司应用程序代码进行修改并添加后门。

CVE-2018-1999001漏洞允许攻击者使用格式错误的登录凭据，导致Jenkins服务器将其config.xml文件从Jenkins主目录移动到另一个位置。如果攻击者能导致Jenkins服务器崩溃并重新启动或者等待服务器自行重启，则Jenkins服务器将以不安全的配置启动，可以匿名访问并控制Jenkins。

CVE-2018-1999043漏洞允许攻击者使用大量无效和非常长的用户名，占用Jenkins服务器的Java虚拟机内存，从而因为内存不足导致Java虚拟机崩溃，使系统管理员可以根据攻击者的意愿重启服务器。该漏洞无疑极大的缩短了漏洞利用的时间，黑客攻击完后快速恢复原配置，管理员几乎无法察觉。

影响范围

CVE-2018-1999001

Jenkins weekly up to and including 2.132

Jenkins LTS up to and including 2.121.1

CVE-2018-1999043

Jenkins weekly up to and including 2.137

Jenkins LTS up to and including 2.121.2

漏洞防护

尽快更新至官方最新版本。

自检方式

检查Jenkins版本是否已更新至最新版本（官方最新版本Jenkins LTS 2.150.1 Jenkins Weekly 2.155）

如果Jenkins_HOME目录下存在$002e$002e目录，可能已经被黑。

Jenkins服务近几个月是否有异常宕机现象。

参考链接

https://www.zdnet.com/article/thousands-of-jenkins-servers-will-let-anonymous-users-become-admins/

https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

https://jenkins.io/security/advisory/2018-08-15/#SECURITY-672

https://jenkins.io/security/advisory/2018-07-18/#SECURITY-897

如需帮助请咨询

hscert@hillstonenet.com

关于我们

山石瞭望是山石网科一群热爱生活、热爱工作、专注网络安全的安全工程师团队，依赖多年的安全经验搜罗全网，从而推出的一个安全动态和威胁情报共享平台，每天定时推送，可为用户提供及时最新的威胁动态。最终帮助用户更好的了解企业面临的威胁，从传统的“知己”过渡到“知彼知己”。

企业关注山石瞭望，提升企业的安全能力。

个人关注山石瞭望，保护自己的个人信息。