漏洞预警| 未打补丁Jenkins服务器极易遭受攻击
2018-12-17
事件来源
2018年12月16日晚,ZDNet发布了一篇文章,指明今年夏天发现和修补的两个漏洞使Jenkins服务器遭到大规模攻击。山石安服团队经过分析还原了漏洞利用过程,紧急通告此未引起关注的安全问题。
漏洞描述
Jenkins是一款由Java编写的开源的持续集成工具,提供了软件开发的持续集成服务,应用及其广泛。fofa.so统计有201,056 条匹配结果,zoomeye.org统计有1,029,639 条结果。
根据ZDNet的文章和CyberArk公司的技术分析报告(见参考链接),黑客可以通过两个已知的Jenkins漏洞(CVE-2018-1999001和CVE-2018-1999043),获得Jenkins服务的管理员访问权限,进一步通过管理员权限可以获得服务器权限,访问私有企业源代码,甚至可以对公司应用程序代码进行修改并添加后门。
CVE-2018-1999001漏洞允许攻击者使用格式错误的登录凭据,导致Jenkins服务器将其config.xml文件从Jenkins主目录移动到另一个位置。如果攻击者能导致Jenkins服务器崩溃并重新启动或者等待服务器自行重启,则Jenkins服务器将以不安全的配置启动,可以匿名访问并控制Jenkins。
CVE-2018-1999043漏洞允许攻击者使用大量无效和非常长的用户名,占用Jenkins服务器的Java虚拟机内存,从而因为内存不足导致Java虚拟机崩溃,使系统管理员可以根据攻击者的意愿重启服务器。该漏洞无疑极大的缩短了漏洞利用的时间,黑客攻击完后快速恢复原配置,管理员几乎无法察觉。
影响范围
CVE-2018-1999001
Jenkins weekly up to and including 2.132
Jenkins LTS up to and including 2.121.1
CVE-2018-1999043
Jenkins weekly up to and including 2.137
Jenkins LTS up to and including 2.121.2
漏洞防护
尽快更新至官方最新版本。
自检方式
检查Jenkins版本是否已更新至最新版本(官方最新版本Jenkins LTS 2.150.1 Jenkins Weekly 2.155)
如果Jenkins_HOME目录下存在$002e$002e目录,可能已经被黑。
Jenkins服务近几个月是否有异常宕机现象。
参考链接
https://www.zdnet.com/article/thousands-of-jenkins-servers-will-let-anonymous-users-become-admins/
https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/
https://jenkins.io/security/advisory/2018-08-15/#SECURITY-672
https://jenkins.io/security/advisory/2018-07-18/#SECURITY-897
如需帮助请咨询
hscert@hillstonenet.com
关于我们
山石瞭望是山石网科一群热爱生活、热爱工作、专注网络安全的安全工程师团队,依赖多年的安全经验搜罗全网,从而推出的一个安全动态和威胁情报共享平台,每天定时推送,可为用户提供及时最新的威胁动态。最终帮助用户更好的了解企业面临的威胁,从传统的“知己”过渡到“知彼知己”。
企业关注山石瞭望,提升企业的安全能力。
个人关注山石瞭望,保护自己的个人信息。
领取专属 10元无门槛券
私享最新 技术干货