Exploração de Jenkins revela brechas
10 de Julho de 2024

Pesquisadores de cibersegurança descobriram que é possível para atacantes armarem instâncias configuradas incorretamente do Jenkins Script Console para promover atividades criminosas, como mineração de criptomoedas.

"Configurações inadequadas, como mecanismos de autenticação mal configurados, expõem o endpoint '/script' aos atacantes", disseram Shubham Singh e Sunil Bharti, da Trend Micro, em um artigo técnico publicado na semana passada.

Isso pode levar à execução remota de código (RCE) e uso indevido por atores maliciosos.
Jenkins, uma plataforma popular de integração contínua e entrega contínua (CI/CD), possui um console de script Groovy que permite aos usuários executar scripts Groovy arbitrários dentro do runtime do controlador Jenkins.

Os mantenedores do projeto, na documentação oficial, observam explicitamente que o shell Groovy baseado na web pode ser usado para ler arquivos contendo dados sensíveis (por exemplo, "/etc/passwd"), descriptografar credenciais configuradas dentro do Jenkins e até reconfigurar as definições de segurança.

O console "não oferece controles administrativos para impedir um usuário (ou administrador), uma vez que eles conseguem executar o Script Console, de afetar todas as partes da infraestrutura do Jenkins", lê-se na documentação.

Dar a um usuário comum do Jenkins acesso ao Script Console é essencialmente o mesmo que dar a eles direitos de Administrador dentro do Jenkins.

Enquanto o acesso ao Script Console é tipicamente limitado apenas a usuários autenticados com permissões administrativas, instâncias mal configuradas de Jenkins poderiam inadvertidamente tornar o endpoint "/script" (ou "/scriptText") acessível pela internet, tornando-o maduro para exploração por atacantes que procuram executar comandos perigosos.

A Trend Micro disse que encontrou instâncias de atores de ameaças explorando a má configuração do plugin Groovy do Jenkins para executar uma string codificada em Base64 contendo um script malicioso que está projetado para minerar criptomoedas no servidor comprometido, implantando um payload de mineração hospedado em berrystore[.]me e configurando persistência.

"O script garante que ele tenha recursos suficientes do sistema para realizar a mineração efetivamente", disseram os pesquisadores.

Para fazer isso, o script verifica os processos que consomem mais de 90% dos recursos da CPU, e então procede para matar esses processos.

Além disso, ele terminará todos os processos parados.

Para se proteger contra tais tentativas de exploração, é aconselhável garantir uma configuração adequada, implementar autenticação e autorização robustas, realizar auditorias regulares e restringir servidores Jenkins de serem expostos publicamente na internet.

O desenvolvimento ocorre à medida que os roubos de criptomoedas resultantes de hacks e explorações dispararam no primeiro semestre de 2024, permitindo que atores de ameaças saqueassem $1.38 bilhões, aumentando dos $657 milhões ano a ano.

"Os cinco principais hacks e explorações foram responsáveis por 70% do valor total roubado até agora este ano", disse a plataforma de inteligência blockchain TRM Labs.

Comprometimentos de chave privada e frase-chave se mantêm como um vetor de ataque principal em 2024, ao lado de explorações de contratos inteligentes e ataques de empréstimo relâmpago.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...