Siber güvenlik araştırmacıları, saldırganların, kripto para madenciliği gibi suç faaliyetlerini daha da ileriye taşımak için, uygunsuz şekilde yapılandırılmış Jenkins Script Konsolu örneklerini silahlandırmasının mümkün olduğunu keşfetti.
Trend Micro’dan Shubham Singh ve Sunil Bharti, “Doğru şekilde kurulmamış kimlik doğrulama mekanizmaları gibi yanlış yapılandırmalar, ‘/script’ uç noktasını saldırganlara ifşa ediyor” dedi. söz konusu geçen hafta yayınlanan bir teknik yazıda. “Bu, uzaktan kod yürütülmesine (RCE) ve kötü niyetli aktörler tarafından kötüye kullanıma yol açabilir.”
Jenkins, popüler bir sürekli entegrasyon ve sürekli teslimat (CI/CD) platformu, kullanıcıların Jenkins denetleyicisi çalışma zamanı içerisinde istedikleri Groovy betiklerini çalıştırmalarına olanak tanıyan bir Groovy betik konsoluna sahiptir.
Proje yöneticileri, resmi belgelerde, web tabanlı Groovy kabuğunun hassas veriler içeren dosyaları (örneğin, “/etc/passwd”) okumak, Jenkins içinde yapılandırılan kimlik bilgilerini şifresini çözmek ve hatta güvenlik ayarlarını yeniden yapılandırmak için kullanılabileceğini açıkça belirtiyorlar.
Konsol, “Kullanıcının (veya yöneticinin) Jenkins altyapısının tüm bölümlerini etkilemesini engellemek için Script Konsolunu çalıştırmayı başardığında bunu durduracak hiçbir yönetimsel kontrol sunmuyor” okur “Normal bir Jenkins kullanıcısına Script Konsol Erişimi vermek, esasen Jenkins içinde onlara Yönetici hakları vermekle aynıdır.”
Script Konsoluna erişim genellikle yalnızca yönetici izinlerine sahip kimliği doğrulanmış kullanıcılarla sınırlı olsa da, yanlış yapılandırılmış Jenkins örnekleri, “/script” (veya “/scriptText”) uç noktasını istemeden internet üzerinden erişilebilir hale getirebilir ve bu da tehlikeli komutları çalıştırmak isteyen saldırganlar tarafından istismara açık hale getirebilir.
Trend Micro, tehdit aktörlerinin, berrystore’da barındırılan bir madenci yükünü dağıtarak tehlikeye atılmış sunucuda kripto para madenciliği yapmak üzere tasarlanmış kötü amaçlı bir betik içeren Base64 kodlu bir dizeyi yürütmek için Jenkins Groovy eklentisinin yanlış yapılandırılmasını suistimal ettiğine dair örnekler bulduğunu söyledi.[.]ben ve kalıcılığı ayarlıyorum.
Araştırmacılar, “Komut dosyası, madenciliği etkili bir şekilde gerçekleştirmek için yeterli sistem kaynağına sahip olduğundan emin oluyor,” dedi. “Bunu yapmak için komut dosyası, CPU kaynaklarının %90’ından fazlasını tüketen işlemleri kontrol ediyor, ardından bu işlemleri sonlandırmaya devam ediyor. Ayrıca, durdurulan tüm işlemleri sonlandıracak.”
Bu tür istismar girişimlerine karşı korunmak için, uygun yapılandırmanın sağlanması, güçlü kimlik doğrulama ve yetkilendirme uygulanması, düzenli denetimler yapılması ve Jenkins sunucularının internette herkese açık şekilde ifşa edilmesinin kısıtlanması önerilir.
Bu gelişme, 2024’ün ilk yarısında saldırılar ve istismarlardan kaynaklanan kripto para hırsızlıklarının artmasıyla birlikte ortaya çıktı ve tehdit aktörlerinin bir önceki yıla göre 657 milyon dolardan 1,38 milyar dolara yükselmesine olanak sağladı.
“Bu yıl şimdiye kadar çalınan toplam miktarın %70’ini en çok hack ve exploit oluşturan ilk beş saldırı oluşturdu,” blockchain istihbarat platformu TRM Labs söz konusu“Özel anahtar ve tohum cümlesi ihlalleri, akıllı sözleşme istismarları ve ani kredi saldırılarının yanı sıra 2024 yılında da başlıca saldırı vektörü olmaya devam edecek.”
