Enterprise-netwerken lopen risico door kwetsbaarheden in honderd Jenkins-plugins

Viktor Gazdag, beveiligingsconsultant bij de NCC Group, heeft in de afgelopen 18 maanden kwetsbaarheden in ruim 100 verschillende Jenkins-plugins gevonden en gerapporteerd. Gazdag heeft ontwikkelaars op de hoogte gesteld, maar veel plugins hebben nog geen fix gekregen. 

Het Jenkins-team heeft tien security advisories gepubliceerd over de kwetsbaarheden, meldt ZDNet. Daarbij waarschuwde het ontwikkelaars om kwetsbare extensies te de-installeren.

Jenkins is een veelgebruikte webgebaseerde applicatie die door ontwikkelaarsteams gebruikt wordt. Jenkins is in Java gemaakt en werkt als een continuous integration-/deployment-systeem dat teams in staat stelt om geautomatiseerde tests te draaien en diverse operaties uit te voeren op basis van testresultaten.

Vanwege de bruikbare test- en automatiseringsfuncties is Jenkins erg populair, vooral in de enterprise-sector. In totaal zijn er 79.000 instances, stelt Shodan, een zoekmachine voor het ontdekken van met het internet verbonden systemen. Het is mogelijk om de standaard functies van Jenkins uit te breden via plugins. Het overgrote deel van die plugins is gemaakt door ontwikkelaars van derde partijen.

Kwetsbaarheden

Een deel van die plugins wordt echter niet meer ondersteund door de ontwikkelaars die ze maakten, of door iemand anders. Gazdag waarschuwt eigenaren van Jenkins-systemen nu dat een deel van deze verlaten plugins een gevaar kunnen zijn voor zakelijke systemen, vanwege niet-opgeloste beveiligingsfouten. Een aantal daarvan zijn erg gevaarlijk.

De onderzoeker stelt dat de meest voorkomende fout die hij gevonden heeft, is dat veel Jenkins-plugins wachtwoorden als cleartext opslaan in hun configuratie-bestanden. Ontwikkelaars gebruiken dan dus niet het standaard credentials.xml-bestand, dat alle data die daarin staat automatisch versleuteld.

Daarnaast vond Gazdag CSRF (Cross-Site Request Forgery) fouten, waarmee cybercriminelen de verbindingstestfuncties van een plugin kunnen gebruiken om credentials naar de server van een aanvaller kunnen versturen. Ook werden SSRF (Server-Side Request Forgery_ fouten gevonden, waarmee de interne netwerken van een bedrijf in kaart kunnen worden gebracht, en inloggegevens achterhaald kunnen worden met brute-force.