查看原文
其他

开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击

Catalin Cimpanu 代码卫士 2022-04-06

聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

用于执行自动化任务的开源服务器 Jenkins 可被滥用于发动分布式拒绝服务 (DDoS)攻击。
Jenkins代码库中存在一个漏洞 (CVE-2020-2100),可被滥用于发动 DDoS攻击,不过已在上个月发布的 Jenkins v2.219 中修复。
Jenkins安全公告指出,Jenkins安装程序支持两个网络发现协议,即 UDP 多播/广播协议和第二个 DNS 多播协议。这两个协议默认启用,它们的作用是供 Jenkins 互相检测并以集群形式运作。
众所周知,UDP 协议可导致攻击者放大 DDoS 攻击的流量部分,之后用于攻击既定目标。去年,来自剑桥大学的 Adam Thom 发现攻击者可以使用 Jenkins UDP 发现协议(活跃于 UDP 端口33848)执行同样的操作,并滥用它放大和反弹 DDoS攻击的流量部分。
Jenkins团队表示,“该服务的单字节请求会以超过100字节的 Jenkins 元数据进行响应,而这些元数据可被滥用于 Jenkins 主服务器上的 DDoS 攻击活动中,从而将针对攻击目标的初始流量放大到最高100倍。”该放大因子为100倍,高于平均水平,接近危险程度。然而,DDoS缓解社区有人表示曾在上周测试该攻击向量。结果显示尽管放大因子虽然很大,但攻击并不可靠,因为(遭互联网暴露的)Jenkins 服务器被这种方式滥用时会崩溃。
不过,更大的问题在于该漏洞还具有的一种作用是,Jenkins 服务器可被诱骗互相发送连续数据包,从而使互联网上的 Jenkins 服务器进入无限循环并最终崩溃。
如Jenkins 服务器被暴露到互联网,则建议企业更新至2.219版本或者至少拦截端口33848的任何入站流量。




推荐阅读

开源的 Jenkins 服务器配置不当或导致著名机构敏感数据遭泄露

Jenkins开源自动化服务器修复RCE漏洞



原文链接

https://www.zdnet.com/article/jenkins-servers-can-be-abused-for-ddos-attacks/




题图:Pixabay License


转载请注明“转自奇安信代码卫士 www.codesafe.cn”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。


 点个“在看”,bounty 不停~        



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存