Jenkins外挂程序存在安全漏洞,有资料外泄和跨网站攻击等风险!

发表于:2019-5-07 09:11

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:IT情报局菊长    来源:今日头条

分享:
  安全研究人员发现,100多只Jenkins外挂程序存在安全漏洞,可能引发登入资料外泄或是跨网站攻击等安全风险。
  Jenkins是一种支持开发、部署和自动化软件开发的开源工具,可以外挂扩充以便提供Active Directory验证或执行静态程序分析、将组译好的软件复制到CIFS网络档案系统等重复性作业。和Wordpress一样,Jenkins在第三方开发商的投入下,现有上百种外挂。但NCC Group安全顾问Viktor Gazdag手动测试100多款Jenkins外挂后发现二大类漏洞,包括验证资料以明码储存以及缺少权限检查的跨网站请求伪造(cross site request forgery,CSRF),后者可能导致资料窃取以及服务器端的请求伪造(Server-Side Request Forgery,SSRF)攻击。
  其中又以第一类漏洞占最大宗。以明码储存的验证资料包括使用者名称、密码、API金钥或令牌,以及可用于Jenkins和外挂中的凭证。虽然Jenkins将密码加密储存成credentials.xml档,但研究人员发现部份外挂开发商是储存成外挂自己的.xml档或是某项作业的config.xml档,这些大部份都没有加密。此外,部份用户输入验证资料的Web form也泄露了密码和令牌,也未使用正确的Jelly表格控制。但Jenkins的安全文件中并未提及这两种档案可能泄露资讯,更别提workspace资料匣也可能暂时储存了敏感资讯。
  
  研究人员就发现,某个MQ外挂将密码明码储存在外挂的自有设定档中,AWS Code Build外挂则把加密金钥明码储存在config.xml。Publish Over Dropbox Plugin则在外挂设定中,将令牌大喇喇显示于Web form中。
  其次为欠缺权限检查的跨网站请求伪造(CSRF)漏洞。有些外挂让使用者连接服务器来测试验证资料,这原本可根据使用者角色权限,强制执行POST呼叫,要求使用者提供CSRF令牌(Crumb)来确保伺服器安全性,但在本研究中却发现部份外挂程序并未强制POST呼叫,使外挂程序可能遭遇CSRF攻击。攻击者可能利用CSRF恶意程序变更主机名称,再诱骗管理员连上服务器,利用被攻击者接管的服务器窃取登入资料。如研究人员就发现OpenStack Cloud Plugin有缺少权限检查的CSRF漏洞问题。但这类漏洞还可能发展成服务器端的请求伪造(SSRF)攻击,藉由测试连线和攻击者掌握的参数,进一步用来进行传输端口扫瞄、探查内部网络架构或暴力破解登入。
  为避免用户资讯透过外挂泄露,研究人员呼吁外挂程序开发人员必须强制执行POST呼叫,以Jenkins.getInstance().checkPermission(Jenkins.ADMINISTER)检查权限,并以Jenkins的Secret及Web form的密码栏位来储存登入资讯。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号