Cybersecurityonderzoekers hebben ontdekt dat aanvallers Jenkins Script Console-instanties die niet goed zijn geconfigureerd, kunnen misbruiken voor criminele activiteiten, zoals het minen van cryptovaluta.
“Verkeerde configuraties zoals onjuist ingestelde authenticatiemechanismen stellen het ‘/script’-eindpunt bloot aan aanvallers”, aldus Shubham Singh en Sunil Bharti van Trend Micro in een vorige week gepubliceerd technisch artikel. “Dit kan leiden tot remote code execution (RCE) en misbruik door kwaadwillende actoren.”
Jenkins, een populair platform voor continue integratie en continue levering (CI/CD), beschikt over een Groovy-scriptconsole waarmee gebruikers willekeurige Groovy-scripts kunnen uitvoeren binnen de Jenkins-controllerruntime.
De beheerders van het project vermelden in de officiële documentatie expliciet dat de webgebaseerde Groovy-shell kan worden gebruikt om bestanden met gevoelige gegevens te lezen (bijvoorbeeld “/etc/passwd”), om inloggegevens te decoderen die in Jenkins zijn geconfigureerd en zelfs om beveiligingsinstellingen opnieuw te configureren.
De console “biedt geen administratieve controles om een gebruiker (of beheerder) te stoppen zodra ze de Script Console kunnen uitvoeren om alle delen van de Jenkins-infrastructuur te beïnvloeden”, aldus de documentatie. “Een normale Jenkins-gebruiker Script Console-toegang verlenen is in wezen hetzelfde als hen beheerdersrechten binnen Jenkins geven.”
Normaal gesproken is de toegang tot Script Console beperkt tot geverifieerde gebruikers met beheerdersrechten. Verkeerd geconfigureerde Jenkins-instanties kunnen er echter voor zorgen dat het eindpunt “/script” (of “/scriptText”) onbedoeld toegankelijk is via internet. Hierdoor wordt het een kwetsbaar doelwit voor aanvallers die gevaarlijke opdrachten willen uitvoeren.
Trend Micro meldt dat het gevallen heeft gevonden waarin kwaadwillenden misbruik maken van de verkeerde configuratie van de Jenkins Groovy-plug-in om een Base64-gecodeerde tekenreeks uit te voeren die een schadelijk script bevat dat is ontworpen om cryptocurrency te minen op de gecompromitteerde server. Dit gebeurt door een miner-payload te implementeren die wordt gehost op berrystore(.)me en persistentie in te stellen.
“Het script zorgt ervoor dat het voldoende systeembronnen heeft om de mining effectief uit te voeren,” aldus de onderzoekers. “Om dit te doen, controleert het script op processen die meer dan 90% van de CPU-bronnen verbruiken, en gaat vervolgens over tot het beëindigen van deze processen. Bovendien zal het alle gestopte processen beëindigen.”
Om u te beschermen tegen dergelijke pogingen tot misbruik, is het raadzaam om de juiste configuratie te garanderen, robuuste authenticatie en autorisatie te implementeren, regelmatig audits uit te voeren en te voorkomen dat Jenkins-servers openbaar op internet worden gemaakt.
Deze ontwikkeling komt nadat de diefstal van cryptovaluta als gevolg van hacks en exploits in de eerste helft van 2024 is toegenomen. Hierdoor konden criminelen $ 1,38 miljard buitmaken, tegenover $ 657 miljoen op jaarbasis.
“De top vijf hacks en exploits waren goed voor 70% van het totale gestolen bedrag tot nu toe dit jaar”, aldus blockchain intelligence platform TRM Labs. “Private key en seed phrase compromises blijven een top aanvalsvector in 2024, naast smart contract exploits en flash loan attacks.”
