Sikkerhedshuller lod anonyme brugere blive admins på tusindvis af Jenkins-servere

Illustration: anatolir/Bigstock
Flere tusinde Jenkins-servere var sårbare overfor datatyveri, overtagelse og mining-angreb efter kryptovaluta.

I sommer opdagede cybersikkerhedseksperter to sårbarheder i virksomheden Jenkins, der beskriver sig selv som »den ledende open source-automationsserver«, der »leverer hundredevis af plugins til at understøtte udvikling, implementering og automatisering af ethvert projekt«.

Det skriver ZDNet.

Den ene sårbarhed (CVE-2018-1999001 - se her) gav hackeren mulighed for at få Jenkins-servere til at flytte deres config.xml-fil fra hjemmeregistret til en anden placering. Hvis hackeren derefter kunne få serveren til at genstarte, så åbnede serveren i en version uden sikkerhed. Dermed kunne enhver registrere sig på serveren og få admin-status.

På den måde kunne hackeren for eksempel få adgang til fortrolig kode hos virksomheder, ligesom de kunne ændre i koden for at lave bagdøre i en virksomheds apps.

Sårbarhederne blev patchet i sommer, men der er stadig tusindvis af Jenkins-servere, som ligger frit tilgængelige online, og som er sårbare overfor angreb.

ZDNET kunne på få minutter finde over 2.000 Jenkins-servere, der stadig er sårbare, men mediet mener, at det totale antal af frit tilgængelige Jenkins-servere med sikkerhedshullerne kan være over 10.000.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere