Siber güvenlik araştırmacıları, saldırganların, kripto para madenciliği gibi suç faaliyetlerini daha da ileriye taşımak için, uygunsuz şekilde yapılandırılmış Jenkins Script Konsolu örneklerini silahlandırmasının mümkün olduğunu keşfetti.
Trend Micro’dan Shubham Singh ve Sunil Bharti geçen hafta yayınlanan bir teknik yazıda, “Doğru olmayan şekilde kurulmuş kimlik doğrulama mekanizmaları gibi yanlış yapılandırmalar, ‘/script’ uç noktasını saldırganlara ifşa eder,” dedi. “Bu, uzaktan kod yürütmeye (RCE) ve kötü niyetli aktörler tarafından kötüye kullanıma yol açabilir.”
Popüler bir sürekli entegrasyon ve sürekli teslimat (CI/CD) platformu olan Jenkins, kullanıcıların Jenkins denetleyici çalışma zamanı içerisinde istedikleri Groovy betiklerini çalıştırmalarına olanak tanıyan bir Groovy betik konsoluna sahiptir.
Proje yöneticileri, resmi belgelerde, web tabanlı Groovy kabuğunun hassas veriler içeren dosyaları (örneğin, “/etc/passwd”) okumak, Jenkins içinde yapılandırılan kimlik bilgilerini şifresini çözmek ve hatta güvenlik ayarlarını yeniden yapılandırmak için kullanılabileceğini açıkça belirtiyorlar.
Konsol, “bir kullanıcı (veya yönetici) Script Konsolunu Jenkins altyapısının tüm bölümlerini etkilemesini engelleyebilecek hiçbir yönetim denetimi sunmuyor,” diyor belgelerde. “Normal bir Jenkins kullanıcısına Script Konsolu Erişimi vermek, esasen Jenkins içinde onlara Yönetici hakları vermekle aynıdır.”
Script Konsoluna erişim genellikle yalnızca yönetici izinlerine sahip kimliği doğrulanmış kullanıcılarla sınırlı olsa da, yanlış yapılandırılmış Jenkins örnekleri, “/script” (veya “/scriptText”) uç noktasını istemeden internet üzerinden erişilebilir hale getirebilir ve bu da tehlikeli komutları çalıştırmak isteyen saldırganlar tarafından istismara açık hale getirebilir.
Trend Micro, tehdit aktörlerinin, berrystore’da barındırılan bir madenci yükünü dağıtarak tehlikeye atılmış sunucuda kripto para madenciliği yapmak üzere tasarlanmış kötü amaçlı bir betik içeren Base64 kodlu bir dizeyi yürütmek için Jenkins Groovy eklentisinin yanlış yapılandırılmasını suistimal ettiğine dair örnekler bulduğunu söyledi.[.]ben ve kalıcılığı ayarlıyorum.
Araştırmacılar, “Komut dosyası, madenciliği etkili bir şekilde gerçekleştirmek için yeterli sistem kaynağına sahip olduğundan emin oluyor,” dedi. “Bunu yapmak için komut dosyası, CPU kaynaklarının %90’ından fazlasını tüketen işlemleri kontrol ediyor, ardından bu işlemleri sonlandırmaya devam ediyor. Ayrıca, durdurulan tüm işlemleri sonlandıracak.”
Bu tür istismar girişimlerine karşı korunmak için, uygun yapılandırmanın sağlanması, güçlü kimlik doğrulama ve yetkilendirme uygulanması, düzenli denetimler yapılması ve Jenkins sunucularının internette herkese açık şekilde ifşa edilmesinin kısıtlanması önerilir.
Bu gelişme, 2024’ün ilk yarısında saldırılar ve istismarlardan kaynaklanan kripto para hırsızlıklarının artmasıyla birlikte ortaya çıktı ve tehdit aktörlerinin bir önceki yıla göre 657 milyon dolardan 1,38 milyar dolara yükselmesine olanak sağladı.
“Bu yıl şimdiye kadar çalınan toplam miktarın %70’ini en büyük beş hack ve exploit oluşturdu,” dedi blockchain istihbarat platformu TRM Labs. “Özel anahtar ve tohum cümlesi ihlalleri, akıllı sözleşme istismarları ve ani kredi saldırılarının yanı sıra 2024’te de en önemli saldırı vektörü olmaya devam ediyor.”