开源的 Jenkins 服务器配置不当或导致著名机构敏感数据遭泄露

Posted 2021-04-07 代码卫士

 聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

英国研究员 Mikail Tunc 分析 Jenkins 服务器后发现其中很多都在泄露敏感信息，而有些信息还源自高级别企业。

配置不当易引发严重安全风险

Tunc 通过 Shodan 搜索引擎找到了能从互联网上访问的 Jenkins 服务器，发现了约2.5万个实例。Tunc 分析了其中约一半的服务器，发现10%到20%的服务器配置不当。他在数周时间内手动验证了这些问题并通知了受影响厂商。

Jenkins 是一款供软件开发人员实现持续集成和交付目标的开源自动化服务器。由于它一般都和 GitHub 以云环境如 AWS 或 Azure 等代码库连接，因此如配置不当会造成很严重的安全风险。

其中一些配置不当的系统默认提供来宾 (guest) 或管理员权限，而另外一些允许通过来宾或管理员权限访问注册账户的任何人。一些 Jenkins 服务器虽然使用了连接到 GitHub 或 Bitbucket 的 SAML/OAuth 验证系统，但任何 GitHub 或 Bitbucket 账户均可登录服务器而并非组织机构所拥有的账户才能登录。

Tunc 表示大多数配置不当的 Jenkins 服务器泄露了某种类型的敏感信息，包括私有源代码库的凭证、部署环境凭证（如用户名、密码、私钥和 AWS 口令），以及包括凭证和其它敏感数据的工作记录日志。

多家著名机构的敏感信息或遭泄露

其中一个被暴露的 Jenkins 实例泄露了谷歌的敏感口令，谷歌在漏洞奖励计划中收到通知后快速解决了这个问题。Tunc 还提到了多家英国大型企业，如伦敦交通局、超市 Sainsbury’s 和 特易购、信用卡查验公司 ClearScore、教育出版商 Pearson以及新闻出版商 News UK等。其中一些企业的高度敏感信息据称遭泄露，不过 Tunc 表示常常难以以负责任的方式披露自己的研究成果。他表示并未利用任何漏洞访问 Jenkins 服务器，自己只是从世界可见的前门溜了一遭并告知所有人关好门。

虽然 Tunc 收到了所通知公司送来的产品、证书和感谢信，但配置不当的 Jenkins 实例会造成很大的问题，而且一些厂商必须为此支付高额的漏洞奖励。

几个月前，两名研究员因发现被暴露的 Jenkins 实例允许任意代码执行并访问敏感数据而收到来自  Snapchat 公司2万美元的奖励。

关联阅读

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接:

http://www.securityweek.com/misconfigured-jenkins-servers-leak-sensitive-data