Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ότι είναι δυνατό για τους εισβολείς να εκμεταλλευτούν ακατάλληλα διαμορφωμένα στιγμιότυπα του Jenkins Script Console για περαιτέρω εγκληματικές δραστηριότητες όπως το crypto mining.
Δείτε επίσης: Οι επιθέσεις mining GhostEngine σκοτώνουν την ασφάλεια EDR
«Εσφαλμένες διαμορφώσεις, όπως η ακατάλληλη ρύθμιση μηχανισμών ελέγχου ταυτότητας, εκθέτουν το τελικό σημείο «/script» στους εισβολείς», δήλωσαν οι Shubham Singh και Sunil Bharti της Trend Micro σε μια τεχνική έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα. “Αυτό μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα (RCE) και κακόβουλη από hackers.“
Το Jenkins Script, μια δημοφιλής πλατφόρμα συνεχούς ενοποίησης και συνεχούς παράδοσης (CI/CD), διαθέτει μια κονσόλα σεναρίων Groovy, που επιτρέπει στους χρήστες να εκτελούν αυθαίρετα σενάρια Groovy εντός του χρόνου εκτέλεσης του ελεγκτή Jenkins.
Οι συντηρητές του έργου, σημειώνουν ρητά ότι το κέλυφος Groovy που βασίζεται στον ιστό μπορεί να χρησιμοποιηθεί για την ανάγνωση αρχείων που περιέχουν ευαίσθητα δεδομένα (π.χ. “/etc/passwd”), την αποκρυπτογράφηση διαπιστευτηρίων που έχουν ρυθμιστεί στο Jenkins, ακόμη και για την εκ νέου διαμόρφωση των ρυθμίσεων ασφαλείας.
“Το να παραχωρήσετε σε έναν κανονικό χρήστη Jenkins Πρόσβαση στην Κονσόλα δέσμης ενεργειών είναι ουσιαστικά το ίδιο με το να του παραχωρήσετε δικαιώματα διαχειριστή εντός του Jenkins.“
Δείτε ακόμα: Φεβρουάριος 2024: Οι hackers απέκτησαν crypto αξίας $105 εκατ. μέσω 20 επιθέσεων
Ενώ η πρόσβαση στην Κονσόλα Script συνήθως περιορίζεται μόνο σε πιστοποιημένους χρήστες με δικαιώματα διαχείρισης, οι εσφαλμένες παράμετροι του Jenkins θα μπορούσαν κατά λάθος να καταστήσουν το τελικό σημείο “/script” (ή “/scriptText”) προσβάσιμο μέσω του διαδικτύου, καθιστώντας το ώριμο για εκμετάλλευση από εισβολείς που θέλουν να εκτελέσουν επικίνδυνες εντολές.
Η Trend Micro είπε ότι εντόπισε περιπτώσεις απειλών που εκμεταλλεύονται την εσφαλμένη διαμόρφωση της προσθήκης Jenkins Groovy για να εκτελέσουν μια συμβολοσειρά με κωδικοποίηση Base64 που περιέχει ένα κακόβουλο σενάριο που έχει σχεδιαστεί για crypto mining στον παραβιασμένο διακομιστή, αναπτύσσοντας ένα ωφέλιμο φορτίο εξόρυξης.
Για να προστατευτείτε από τέτοιες απόπειρες εκμετάλλευσης, συνιστάται να διασφαλίζετε τη σωστή διαμόρφωση, να εφαρμόζετε ισχυρό έλεγχο ταυτότητας και εξουσιοδότησης, να διεξάγετε τακτικούς ελέγχους και να περιορίζετε τη δημόσια έκθεση των διακομιστών Jenkins στο διαδίκτυο.
Η εξέλιξη έρχεται καθώς οι κλοπές κρυπτονομισμάτων που προκύπτουν από hacks και exploits έχουν αυξηθεί κατά το πρώτο εξάμηνο του 2024, επιτρέποντας στους παράγοντες απειλών να λεηλατήσουν 1,38 δισεκατομμύρια δολάρια, από 657 εκατομμύρια δολάρια το προηγούμενο έτος.
Δείτε επίσης: Hacker δημιούργησε 1 εκατομμύριο παράνομους εικονικούς διακομιστές για εξόρυξη κρυπτονομισμάτων
Οι επιθέσεις crypto mining, όπως αυτές του Jenkins Script, γνωστές και ως cryptojacking, περιλαμβάνουν μη εξουσιοδοτημένη χρήση των πόρων του υπολογιστή κάποιου άλλου για την εξόρυξη κρυπτονομισμάτων. Αυτές οι επιθέσεις μπορούν να μολύνουν διάφορες συσκευές, συμπεριλαμβανομένων των υπολογιστών, των smartphone, ακόμη και των διακομιστών, επιβραδύνοντας σημαντικά την απόδοση και αυξάνοντας την κατανάλωση ηλεκτρικής ενέργειας. Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν συνήθως το cryptojacking μέσω κακόβουλων ιστότοπων, ηλεκτρονικού phishing ή εκμεταλλευόμενοι ευπάθειες στο λογισμικό. Μόλις το κακόβουλο λογισμικό ενσωματωθεί, εκτελείται αθόρυβα στο παρασκήνιο, εξαντλώντας την επεξεργαστική ισχύ και ενδεχομένως προκαλώντας ζημιά στο υλικό με την πάροδο του χρόνου.
Πηγή: thehackernews
