За последние 18 месяцев ИБ-специалист NCC Group Security Виктор Газдаг (Viktor Gazdag)  обнаружил уязвимости более чем в 100 плагинах для Jenkins, популярнейшего решения предназначенного для обеспечения процесса непрерывной интеграции ПО. Многие из этих багов до сих пор не были устранены.

Создатели Jenkins подготовили уже 10 бюллетеней безопасности (12345678910), посвященных этим проблемам, и предупредили разработчиков о том, что от уязвимых расширений лучше избавиться. Проблема в том, что Jenkins очень популярен в целом и в корпоративном секторе в частности, и только по статистике Shodan, в сети можно легко обнаружить более 79 000 экземпляров.

К сожалению, плагины для Jenkins как правило разрабатывают третьи лица, и, как это часто бывает с опенсорсными проектами в наши дни, многие разработчики оказываются неспособны обеспечивать должную поддержку своим продуктам. Из-за чего плагины устаревают, превращаются в откровенно заброшенные и, в конечном итоге, подвергают риску своих пользователей.

Газдаг пишет, что зачастую плагины подвержены самым банальным проблемам с безопасностью. Например, многие из них хранят учетные данные открытым текстом, прямо в файлах конфигурации, а не используют зашифрованный credentials.xml. Также многие плагины содержат уязвимости CSRF и SSRF, из-за чего преступник может воспользоваться функцией теста соединения с плагином и учетные данные будут преданы на сервер атакующего, а также он сможет просканировать порты и изучить структуру внутренней сети компании.

Ранее уязвимости в  Jenkins и его плагинах уже использовались для заражения серверов майнерами, но Газдаг пишет, что обнаруженные им проблемы вряд ли будут полезны для таких случаев. Вместо этого уязвимые расширения могут стать хорошим подспорьем для атакующих, которым необходимо провести разведку в сети целевой организации или организовать направленную атаку.

Оставить мнение