成千上万的Jenkins服务器将让匿名用户通过两个漏洞成为管理员

数以千计，如果不是更多，Jenkins服务器容易受到数据窃取，接管和加密货币挖掘攻击。这是因为黑客可以利用两个漏洞获取管理员权限或使用这些服务器上的无效凭据登录。

这两个漏洞都是由CyberArk的安全研究人员发现的，私下向Jenkins团队报告，并在今年夏天得到修复。但是，尽管两个问题都有补丁，但仍有数千台Jenkins服务器在线提供。
Jenkins是一个用Java构建的持续集成的Web应用程序，它允许开发团队根据测试结果在代码存储库上运行自动化测试和命令，甚至可以自动化将新代码部署到生产服务器的过程。
Jenkins是许多公司IT基础架构中的一个受欢迎的组件，这些服务器非常受自由职业者和企业的欢迎。
两个非常危险的缺陷
今年夏天，CyberArk的研究人员发现了一个漏洞（跟踪为CVE-2018-1999001），该漏洞允许攻击者提供格式错误的登录凭据，导致Jenkins服务器将其config.xml文件从Jenkins主目录移动到另一个位置。
如果攻击者可能导致Jenkins服务器崩溃并重新启动，或者如果他等待服务器自行重启，则Jenkins服务器将以默认配置启动，该配置不具备安全性。
在这种削弱的设置中，任何人都可以在Jenkins服务器上注册并获得管理员访问权限。借助管理员角色，攻击者可以访问私有企业源代码，甚至可以对公司应用程序中的工厂后门进行代码修改。
这个单独的问题本身就很糟糕，但CyberArk研究人员还发现了第二个Jenkins漏洞--CVE-2018-1999043。
他们说，第二个错误允许攻击者在服务器内存中创建短暂的用户记录，允许攻击者在短时间内使用ghost用户名和凭据进行身份验证。
这两个漏洞都是固定的，第一个在7月份，第二个在8月份，但是由于我们在过去几年已经习惯于覆盖安全漏洞，并非所有服务器所有者都不愿意安装这些安全更新。
成千上万的服务器暴露给黑客
“使用这个链接，我们可以看到有大约78,000个在线Jenkins安装，”CyberArk的安全研究员Nimrod Stoler在一封电子邮件中告诉ZDNet。 “由于我们的攻击示例不要求攻击者登录，因此任何攻击者都可能受到攻击。”
“除了大约78,000个安装号码外，封闭网络中还有无法在线访问的安装（因此在Shodan中不可见），因此大约78,000个数字只是一个较大数字的一部分，”Stoler告诉我们。 “同样，任何有网络访问权限的人都可以解除这种攻击。”
ZDNet使用相同的Shodan引擎来微调已知易受上述漏洞攻击的十个Jenkins服务器版本的搜索查询。
在几分钟内，ZDNet能够发现超过2,000个易受攻击的Jenkins服务器，但我们相信可通过互联网访问的易受攻击服务器的总数甚至可能超过10,000。
今年早些时候，一个网络犯罪集团滥用了大量旧漏洞来接管詹金斯实例并滥用它们按照他们的要求开采加密货币，在几个月的时间内获得了惊人的价值340万美元的Monero（当时） 。
您很少看到一组更完善的漏洞，这些漏洞可以被广泛利用并具有广泛的损害。建议Jenkins服务器所有者尽快修补，避免让黑客通过他们的服务器自由漫游。
CyberArk研究人员还发布了一份技术报告，详细介绍了本周这两个漏洞的内部运作情况。