阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 728阅读
  • 1回复

[安全漏洞公告专区]2.5万软件集成平台Jenkins暴露在互联网 大量敏感证书及日志泄露

级别: 论坛版主
发帖
227
云币
443
研究人员表示,没有利用任何 软件集成平台Jenkins漏洞,就在互联网上发现了暴露 2万5千个Jenkins实例 ,从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件,这都可能会引发 数据泄露事件。 FnCHbPlb  
Jenkins是最受欢迎的开源动化服务,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。 i^n&K:6  
=IUTU4!]  
软件集成平台Jenkins是什么? ;%U`P8b!  
q[+];  
持续集成是一种软件开发实践,对于提高软件开发效率并保障软件开发质量提供了理论基础。Jenkins 是一个开源软件项目,旨在提供一个开放易用的软件平台,使持续集成变成可能。 v/kYyz  
Jenkins 是一种易于使用的持续集成系统,它可以使开发者从繁杂的集成过程中解脱出来,专注于更为重要的业务逻辑实现。同时 Jenkins 能实施监控集成中存在的错误,提供详细的日志文件和提醒功能,还能用图表的形式形象地展示项目构建的趋势和稳定性。 ak'RV*>mT  
ICGBU>Db  
2万5千个Jenkins实例暴露在互联网上,你的业务也在其中吗? ]-O:|q>]  
Q=+KnE=h  
lAoH@+dyA+  
研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约25,000个实例。其中大约一半的分析显示,10-20%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。 Q%85,L^U  
Tunç强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。 研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。 L:S[QwQu8  
b&!X#3(KT  
rc"Z$qU?  
LOp<c<+aW  
这些暴露的Jenkins实例泄露了敏感证书和日志文件 d9E:LZy  
ua2SW(C@  
N!,@}s  
Tunç还发现一些Jenkins服务器使用了Github或Bitbucket的SAML / OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。 “专家在一篇博客文章中写道。 d/"e3S1  
.~Td /o7  
,l~i|_  
这些配置错误通常有: l2$6ojpo  
任何人都可以使用访客或管理权限在互联网上公开访问 - 访客可以拥有管理权限,这简直就是灾难 ]A'E61t<n  
某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限 /Wt<[g#  
某些Web应用程序确实是使用Github或Bitbucket的SAML / OAuth登录验证,但被错误配置为允许 任何 Github / Bitbucket帐户登录到Jenkins,而不是锁定到 组织的 用户池 f 1]1ZOb  
https://emtunc.org/blog/01/2018/research-misconfigured-jenkins-servers/ +}% 4]O;  
Tunç报告说,他分析的这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。 'sJYt^  
o@"H3 gz  
不少大型机构的jenkins也暴露了敏感信息 }" A.[9 b  
40mgB4I  
研究人员还发现,Google在 jenkins 上暴露了敏感的代币,该公司在通过Google 漏洞奖励计划得到通知后,迅速解决了这个问题。 专家发现的其他情况是: uP<tP:  
伦敦政府资助的运输, 伦敦交通运输机构 ; rIy,gZr.U  
  • 超市Sainsbury's和Tesco;
  • 为儿童制造玩具的公司;
  • 信用审查公司ClearScore;
  • 报纸出版社 News UK ;
  • 教育出版商 Pearson 和报纸出版商 News UK 。
dZ_Hj X7  
在研究之后, 研究人员总结道。 ]M#_o]  
  1. “现在是2018年,大多数 组织 没有最基本的负责任的披露计划。令人惊讶的是,(或者并不是这样)大公司也是这个问题的绊脚石。“
  2. “如果你在信息安全领域工作,或者你负责基础设施的安全性,现在梳理你基础设施的好时机,以确保你不会不知不觉地把敏感的接口暴露到互联网。只需要一个配置错误的实例就足以毁了您的业务。“
.]P@{T||Y  
PY~cu@'k{  
阿里云盾建议您关注并开展自查工作,安全加固请参阅Jenkins安全服务加固文档 5ILce%#zL  
Eufw1vDa  
R{u/r%  
kbiMqiPG  
[ 此帖被正禾在2018-01-29 11:47重新编辑 ]
级别: 架构狮
发帖
1240
云币
1988
只看该作者 沙发  发表于: 01-31
        
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个