2.5萬軟體集成平台Jenkins暴露在互聯網 大量敏感證書及日誌泄露

研究人員表示，沒有利用任何 軟體集成平台 Jenkins 漏洞，就在互聯網上發現了暴露 2萬5千個Jenkins實例 ，從這些實例中發現了不少大型公司 泄露了敏感證書和日誌文件，這都可能會引發數據泄露事件。

Jenkins是最受歡迎的開源自動化伺服器，由CloudBees和Jenkins社區維護。 自動化伺服器支持開發人員構建，測試和部署其應用程序，在全球擁有超過133,000個活躍安裝實例，用戶超過100萬。

軟體集成平台Jenkins是什麼

持續集成是一種軟體開發實踐，對於提高軟體開發效率並保障軟體開發質量提供了理論基礎。Jenkins 是一個開源軟體項目，旨在提供一個開放易用的軟體平台，使持續集成變成可能。

Jenkins 是一種易於使用的持續集成系統，它可以使開發者從繁雜的集成過程中解脫出來，專註於更為重要的業務邏輯實現。同時 Jenkins 能實施監控集成中存在的錯誤，提供詳細的日誌文件和提醒功能，還能用圖表的形式形象地展示項目構建的趨勢和穩定性。

2萬5千個Jenkins實例暴露在互聯網上

研究人員使用Shodan搜索引擎來查找可在線訪問的Jenkins伺服器，他發現了約25,000個實例。其中大約一半的分析顯示，10-20％的實例存在配置錯誤，然後研究人員手動分析每個實例，並通知受影響的供應商。

Tun?強調，Jenkins通常需要代碼存儲庫的憑據，並訪問部署代碼的環境，通常是GitHub、AWS和Azure。未能正確配置應用程序可能會使數據面臨嚴重風險。 研究人員發現，許多配置錯誤的系統默認提供訪客或管理員許可權，而其他的一些則允許訪客或管理員訪問任何註冊賬戶。

這些暴露的Jenkins實例泄露了敏感證書和日誌文件

Tun?還發現一些Jenkins伺服器使用了Github或Bitbucket的SAML / OAuth身份驗證系統，但不幸的是，任何GitHub或Bitbucket帳戶都可以登錄，而不是合法的所有者。 「專家在一篇博客文章中寫道。

這些配置錯誤通常有：

任何人都可以使用訪客或管理許可權在互聯網上公開訪問 - 訪客可以擁有管理許可權，這簡直就是災難

某些Web應用程序確實是在登錄提示之後，但卻允許「自助註冊」，進而被授予訪客或管理員許可權

某些Web應用程序確實是使用Github或Bitbucket的SAML / OAuth登錄驗證，但被錯誤配置為允許 任何Github / Bitbucket帳戶登錄到Jenkins，而不是鎖定到 組織的 用戶池

https://emtunc.org/blog/01/2018/research-misconfigured-jenkins-servers/

Tun?報告說，他分析的這些錯誤配置的實例，大多也都泄露了敏感信息，包括專用源代碼庫的證書，部署環境的證書（例如用戶名、密碼、私鑰和AWS令牌）以及包括憑證和其他信息的作業日誌文件敏感數據。

不少大型機構的jenkins也暴露了敏感信息

研究人員還發現，Google在 jenkins 上暴露了敏感的代幣，該公司在通過Google 漏洞獎勵計劃 得到通知後，迅速解決了這個問題。 專家發現的其他情況是：

倫敦政府資助的運輸， 倫敦 交通運輸機構 ;

超市Sainsbury"s和Tesco;

為兒童製造玩具的公司;

信用審查公司ClearScore;

報紙出版社 News UK ;

教育出版商 Pearson 和報紙出版商 News UK 。

在研究之後， 研究人員總結道。

「現在是2018年，大多數組織沒有最基本的負責任的披露計劃。令人驚訝的是，（或者並不是這樣）大公司也是這個問題的絆腳石。「

「如果你在信息安全領域工作，或者你負責基礎設施的安全性，現在梳理你基礎設施的好時機，以確保你不會不知不覺地把敏感的介面暴露到互聯網。只需要一個配置錯誤的實例就足以毀了您的業務。「

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！