开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击
Posted 代码卫士
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击相关的知识,希望对你有一定的参考价值。
用于执行自动化任务的开源服务器 Jenkins 可被滥用于发动分布式拒绝服务 (DDoS)攻击。
Jenkins代码库中存在一个漏洞 (CVE-2020-2100),可被滥用于发动 DDoS攻击,不过已在上个月发布的 Jenkins v2.219 中修复。
Jenkins安全公告指出,Jenkins安装程序支持两个网络发现协议,即 UDP 多播/广播协议和第二个 DNS 多播协议。
这两个协议默认启用,它们的作用是供 Jenkins 互相检测并以集群形式运作。
众所周知,UDP 协议可导致攻击者放大 DDoS 攻击的流量部分,之后用于攻击既定目标。
去年,来自剑桥大学的 Adam Thom 发现攻击者可以使用 Jenkins UDP 发现协议(活跃于 UDP 端口33848)执行同样的操作,并滥用它放大和反弹 DDoS攻击的流量部分。
Jenkins团队表示,“该服务的单字节请求会以超过100字节的 Jenkins 元数据进行响应,而这些元数据可被滥用于 Jenkins 主服务器上的 DDoS 攻击活动中,从而将针对攻击目标的初始流量放大到最高100倍。
”该放大因子为100倍,高于平均水平,接近危险程度。
然而,DDoS缓解社区有人表示曾在上周测试该攻击向量。
结果显示尽管放大因子虽然很大,但攻击并不可靠,因为(遭互联网暴露的)Jenkins 服务器被这种方式滥用时会崩溃。
不过,更大的问题在于该漏洞还具有的一种作用是,Jenkins 服务器可被诱骗发送连续数据包,从而使互联网上的 Jenkins 服务器进入无限循环并最终崩溃。
如Jenkins 服务器被暴露到互联网,则建议企业更新至2.219版本或者至少拦截端口33848的任何入站流量。
https://www.zdnet.com/article/jenkins-servers-can-be-abused-for-ddos-attacks/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
以上是关于开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击的主要内容,如果未能解决你的问题,请参考以下文章
阿里巴巴开源的 JSON 解析库 Fastjson 被曝高危漏洞,官方已发布安全公告
不止于攻击 Memcached 漏洞可窃取服务器数据
Apache Log4j曝史诗级漏洞,Spring boot修复教程
TCP协议曝出信道漏洞 可远程劫持会话
主流虚拟化平台 QEMU-KVM 被曝存在漏洞,可完全控制宿主机及其虚拟机 | 每日安全资讯
Flink等多组件受影响,Apache Log4j曝史诗级漏洞