Duizenden Jenkins-servers kwetsbaar voor takeovers en datadiefstal

Duizenden, mogelijk meer, servers van Jenkins zijn kwetsbaar voor datadiefstal, takeovers of aanvallen gericht op cryptovaluta miners. Dat komt doordat hackers misbruik kunnen maken van twee verschillende kwetsbaarheden, waarmee ze zichzelf adminrechten kunnen geven, of kunnen inloggen.

Beide kwetsbaarheden werden ontdekt door onderzoekers van CyberArk en vervolgens gemeld aan het ontwikkelteam achter Jenkins. Dat bracht vervolgens tijdens de zomer een aantal oplossingen uit. Maar ondanks dat er al fixes zijn uitgebracht, blijven vele duizenden Jenkins-servers kwetsbaar en online beschikbaar.

Jenkins-servers

Jenkins is een webapplicatie voor continue integratie, die ontwikkeld is in Java en ontwikkelteams ertoe in staat stelt geautomatiseerde tests en commando’s uit te voeren op code repositories, gebaseerd op testresultaten. Het proces waarbij nieuwe code wordt uitgerold naar productieservers kan ook geautomatiseerd plaatsvinden.

De app is erg populair in de IT-infrastructuur van veel bedrijven en zijn verder erg populair bij zowel bedrijven als freelance ontwikkelaars. Doordat lang niet iedereen zijn server op tijd van een update voorzien heeft, blijven veel servers kwetsbaar en zijn duizenden, zo niet veel meer, servers niet goed beveiligd.

De kwetsbaarheden

Afgelopen zomer ontdekten onderzoekers van Cyberark een kwetsbaarheid (CVE-2018-1999001) die een aanvaller ertoe in staat stelt met neppe login credentials in te loggen. De Jenkins-server verhuist vervolgens het config.xml-bestand van de thuismap naar een andere locatie. Als een aanvaller er dan in weet te slagen een server te laten crashen en herstarten (of gewoon wacht tot er vanzelf een reboot plaatsvindt), dan start deze zichzelf opnieuw op in onbeveiligde modus. In deze setup kan een aanvaller zichzelf eenvoudig registreren als admin.

Dat probleem is al ernstig, maar onderzoekers van CyberArk vonden ook CVE-2018-1999043. Die bug stelt aanvallers ertoe in staat om neppe credentials te maken. Daarmee kunnen ze inloggen met nepgebruikersnamen en -wachtwoorden. Beide kwetsbaarheden zijn opgelost, de eerste in juli en de tweede in augustus. Maar er zijn vermoedelijk nog ruwweg 78.000 servers die kwetsbaar blijven voor deze problemen.