Minglab Jenkins serverlari kiberhujumlarga qarshi himoyasiz
Serverlarda ikkita xavfli zaiflik aniqlandi.
Jenkins serverlarining minglab, ehtimol undan ham ko’proq qismi nazoratni egallash, ma’lumotlarni o’g’irlash va kriptovalyuta qazib olishga qaratilgan hujumlarga moyil. Hujumlar administrator darajasiga o’tish yoki serverga yaroqsiz hisob ma’lumotlari bilan kirish imkonini beruvchi ikkita zaiflik tufayli mumkin. Muammolar CyberArk mutaxassislari tomonidan aniqlandi va Jenkins jamoasiga shaxsiy ravishda xabar qilindi. O’tgan yozda yamalar chiqarilgan bo’lsa-da, minglab zaif Jenkins serverlariga internet orqali kirish mumkin.
CVE-2018-1999001 zaifligi zararli ma’lumotlar olimlariga serverni aldab, uning config.xml faylini uy katalogidan boshqa joyga ko’chirishga imkon beradi. Agar tajovuzkor muvaffaqiyatli ravishda ishdan chiqishiga yoki qayta ishga tushirilishiga sabab bo’lsa, server standart konfiguratsiya sozlamalari bilan ishga tushadi, ya’ni xavfsizlik xususiyatlari o’chirib qo’yiladi. Bu holda, istalgan kishi serverga kirishi va administrator imtiyozlariga ega bo’lishi, korporativ manba kodiga kirish huquqini berishi va hatto uni o’zgartirishi va ilovalarga orqa eshiklarni joylashtirishi mumkin.
Ikkinchi zaiflik, CVE-2018-1999043, tajovuzkorga server xotirasida vaqtinchalik foydalanuvchi yozuvlarini yaratishga imkon beradi, bu ularga ma’lum vaqt davomida serverga noto’g’ri hisob ma’lumotlari bilan kirish imkonini beradi.
