因配置錯誤，25000個Jenkins伺服器泄漏了大量敏感數據

Jenkins是一個開源軟體項目，是基於Java開發的一種持續集成工具，用於監控持續重複的工作，旨在提供一個開放易用的軟體平台，使軟體的持續集成變成可能。目前其在全球的用戶已經超過了100萬，被安裝了133000次，由CloudBees和Jenkins社區共同維護。

最近，安全專家MikailTun?對Jenkins伺服器的安全性進行了分析，發現Jenkins伺服器的配置錯誤會泄漏大量敏感數據。不過，MikailTun?澄清說，他並沒有利用任何漏洞來攻擊Jenkins伺服器，僅僅用於研究。

MikailTun?使用Shodan搜索引擎對可在線訪問的Jenkins伺服器進行了信息泄露數據的搜索，結果發現了伺服器上的敏感信息都出現了網上。經過分析，這些伺服器都存在著配置錯誤，然後MikailTun?在對這些伺服器進行了分析之後，並將分析結果通知了受影響的供應商。

MikailTun?發現，這些受影響的Jenkins通常需要代碼存儲庫的憑據，並進一步訪問部署代碼的運行環境，比如GitHub、AWS和Azure。因此，錯誤的確配置應用程序會讓敏感數據面臨嚴重的泄露風險。 MikailTun?還發現，許多配置錯誤的系統或者會對管理員許可權選擇默認，或者允許管理員訪問其它任何註冊的賬戶。

MikailTun?還發現一些Jenkins伺服器使用了Github或Bitbucket的SAML/OAuth身份驗證系統，但不幸的是，除了合法的登陸者外，任何GitHub或Bitbucket帳戶都可以登錄該伺服器，毫無安全性可言。

主要有以下3個配置錯誤

1.任何人都可以使用管理許可權在網上公開訪問你的伺服器；

2.有些Web應用程序在登錄提示後，允許「自助註冊」，進而被自動授予訪問許可權；

3.雖然某些Web應用程序確實是使用Github或Bitbucket的SAML / OAuth登錄驗證，但卻被錯誤配置為允許 任何Github / Bitbucket帳戶登錄到Jenkins，而不是鎖定到 組織的 用戶池

按著MikailTun?的分析，只要出現了以上三種情況之一，伺服器就會也發生敏感信息的泄露，包括專用源代碼庫的證書，部署環境的證書，例如用戶名、密碼、私鑰和AWS令牌以及包括憑證和其他信息的作業日誌文件敏感數據。

MikailTun?還在Shodan搜索信息中發現了Google的代幣賬戶信息，不過Google在收到反饋後，很快就解決了這個問題。除了Google外，以下大型機構的信息是泄露最嚴重的：

1.倫敦的交通運輸機構；

2. Sainsbury"s和Tesco超市；

3.兒童玩具製造公司；

4.信用審查公司ClearScore；

5. 報紙出版商 News UK；

6.教育出版商 Pearson 和 。

MikailTun?表示：

由此可見，一方面，信息安全的披露並沒有得到各個機構的重視。另一方面，加強基礎設施的維護是多麼的重要，因為一個配置錯誤就可以讓你功虧一簣。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！