未打补丁Jenkins服务器极易遭受攻击

漏洞预警| 未打补丁Jenkins服务器极易遭受攻击

2018-12-17

事件来源

2018年12月16日晚,ZDNet发布了一篇文章,指明今年夏天发现和修补的两个漏洞使Jenkins服务器遭到大规模攻击。山石安服团队经过分析还原了漏洞利用过程,紧急通告此未引起关注的安全问题。

漏洞描述

Jenkins是一款由Java编写的开源的持续集成工具,提供了软件开发的持续集成服务,应用及其广泛。fofa.so统计有201,056 条匹配结果,zoomeye.org统计有1,029,639 条结果。

根据ZDNet的文章和CyberArk公司的技术分析报告(见参考链接),黑客可以通过两个已知的Jenkins漏洞(CVE-2018-1999001和CVE-2018-1999043),获得Jenkins服务的管理员访问权限,进一步通过管理员权限可以获得服务器权限,访问私有企业源代码,甚至可以对公司应用程序代码进行修改并添加后门。

CVE-2018-1999001漏洞允许攻击者使用格式错误的登录凭据,导致Jenkins服务器将其config.xml文件从Jenkins主目录移动到另一个位置。如果攻击者能导致Jenkins服务器崩溃并重新启动或者等待服务器自行重启,则Jenkins服务器将以不安全的配置启动,可以匿名访问并控制Jenkins。

CVE-2018-1999043漏洞允许攻击者使用大量无效和非常长的用户名,占用Jenkins服务器的Java虚拟机内存,从而因为内存不足导致Java虚拟机崩溃,使系统管理员可以根据攻击者的意愿重启服务器。该漏洞无疑极大的缩短了漏洞利用的时间,黑客攻击完后快速恢复原配置,管理员几乎无法察觉。

影响范围

CVE-2018-1999001

Jenkins weekly up to and including 2.132

Jenkins LTS up to and including 2.121.1

CVE-2018-1999043

Jenkins weekly up to and including 2.137

Jenkins LTS up to and including 2.121.2

漏洞防护

尽快更新至官方最新版本。

自检方式

检查Jenkins版本是否已更新至最新版本(官方最新版本Jenkins LTS 2.150.1 Jenkins Weekly 2.155)

如果Jenkins_HOME目录下存在$002e$002e目录,可能已经被黑。

Jenkins服务近几个月是否有异常宕机现象。

参考链接

https://www.zdnet.com/article/thousands-of-jenkins-servers-will-let-anonymous-users-become-admins/

https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

https://jenkins.io/security/advisory/2018-08-15/#SECURITY-672

https://jenkins.io/security/advisory/2018-07-18/#SECURITY-897

如需帮助请咨询

hscert@hillstonenet.com

关于我们

山石瞭望是山石网科一群热爱生活、热爱工作、专注网络安全的安全工程师团队,依赖多年的安全经验搜罗全网,从而推出的一个安全动态和威胁情报共享平台,每天定时推送,可为用户提供及时最新的威胁动态。最终帮助用户更好的了解企业面临的威胁,从传统的“知己”过渡到“知彼知己”。

企业关注山石瞭望,提升企业的安全能力。

个人关注山石瞭望,保护自己的个人信息。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181217G04QTD00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券