コンテンツへスキップ
ホーム » 大規模のサーバー攻撃で続く漏洩 Jenkins 脆弱性 の検知

大規模のサーバー攻撃で続く漏洩 Jenkins 脆弱性 の検知

ジェンキンス(Jenkins)とは 全ての 言語の 組み合わせと ソース コード リポジトリに 対する 継続的 インテグレーション(Continuous integration, CI)と継続的デリバリー 環境を 構築するための オープン ソース ソフトウェアです。ジェンキンスで ビルド、テスト、及びデプロイの プロセスを 自動化し、ソフトウェアの 品質と開発 生産性を 高められます。ウェブ ベースのコンソールで 様々な 認証 ベースと 結びつけられ、1,800 以上の プラグインを 使用して ソフトウェアの 自動化 開発を サポートします。このような 利便性で 世界中 百万人以上の ユーザーが あります。ビルド、デリバリー以外も スケジューリングを 利用した デプロイ 作業に 活用されたり、プラグインを 直接開発して 機能を 拡張できるので エンジニアが 好む システムです。

高い費用がかからないオープン ソースのメリットがありますが、逆に誰でもアクセスできるというリスクが存在します。特に、多数のエンジニアが一つのプログラムを開発するとき、バージョンの衝突を避けるために、それぞれ作業した内容をシェアの領域にあるストレージへ頻繫にアップロードするため、無防備状態のジェンキンス サーバーはハッカーの攻撃対象がなりうるです。また、一気にデリバリーや処理するため、ジェンキンス オープ ンソース サーバーに何十、何百のサーバーが連結されて使用されています。すなわち、管理されない一つのオープン ソース サーバーで何百台のサーバーが丸ごとハッカーの手にコントロールされる大規模のセキュリティ事故へつながる可能性があります。

7月3日、セキュリティ ブログである Security Affairs で公開された何十のジェンキンス プラグイン ゼロデイ脆弱性はこのような危険性をそのまま反証しています。

Criminal IPでは様々なフィルターでジェンキンス サーバーを使用する IP アドレスを照会できます。

ファビコン検索を活用した Jenkins サーバーの IP アドレスの照会

Criminal IP(https://www.criminalip.io/ja)favicon フィルターはウェブサイトのファビコン ハッシュを検索して IP アドレスを照会できる機能です。Favicon とは favorites + icon の複合語で、ウェブサイトを代表するアイコンです。ほぼすべての企業や公共機関のウェブサイトとユーザーに提供されるサービスのウェブページでは大体このようなファビコンが適用されています。Criminal IP はファビコン ハッシュ アルゴリズムの16陣数を使っていて、上のファビコンハッシュの計算機で確認した10陣数の値を16陣数で変換した後、検索すればよいです。これに基づき、オープン ソース サーバーの Jenkins のファビコン ハッシュを検索してみると、全て2,263の x-jenkins オープン ソース サーバーを利用している IP アドレスが確認されます。favicon フィルターの利用チップは下に添付した ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知の Search Tip をご参照ください。

favicon: 4dce888

Criminal IP のアセット検索で favicon: 4dce888 を検索した結果
Criminal IP のアセット検索で favicon: 4dce888 を検索した結果

照会された Jenkins オープ ソース サーバーの検索結果の中で一つのウェブサイトへアクセスすると、実際の Jenkins サーバーページへアクセスできます。

別の認証がないまま照会できる漏洩された Jenkins サーバー ページ

タイトル検索で公開された Jenkins 脆弱性 の検知

また別の方法で、title フィルター検索で Jenkins オープ ンソース サーバーを使っている IP アドレスを照会できます。Criminal IP(https://www.criminalip.io/ja)の title フィルターはウェブページの Meta tag の中でタイトルにキーワードが含まれている IP アドレスを結果として見せます。title フィルターの他の用例は サイト権限まで奪い取られた deface サイト、title フィルターで検知 Search Tip でご参照ください。

Criminal IP アセット検索(https://www.criminalip.io/ja/asset)“title: x-jenkins” を検索すると、全て6の Jenkins オープ ンソース サーバーを使っている IP アドレスが確認されます。

title: x-jenkins

Criminal IP アセット検索で title: x-jenkins を検索した結果
Criminal IP アセット検索で title: x-jenkins を検索した結果

この中には一つの認証もないまま、すぐに開発ソース コードを見られるページも含まれています。

Jenkins 脆弱性
一つの認証もないまま、外部へ公開されている開発ソース コード ストレージ サーバー

そのページではソフトウェアのビルドの待機、実行状態リストを何の制限もないまま照会できました。

Jenkins 脆弱性
別の検証なしで照会できるソフトウェアのビルド、待機リスト

また、既にデリバリーに成功した結果も何の制限もないまま見られました。

Jenkins 脆弱性
別の検証なしで照会できるソフトウェアのデリバリー状態

これは深刻な攻撃対象領域にさらされている Jenkins 脆弱性 で情報漏れの原因になりうるです。

その他にも、Criminal IP(https://www.criminalip.io/ja)ではウェブページの title と favicon がない状態の Jenkins オープン ソース サーバーを使用する IP アドレスを紹介できます。そのクエリーで検索するとき、全て4,196の Jenkins オープン ソース サーバーを使用している IP アドレスを照会できます。

X_Hudson X_Jenkins 200

Jenkins 脆弱性
Criminal IP アセット 検索で X_Hudson X_Jenkins 200 クエリーを 検索した 結果

上の結果でも 別の認証もない 状態で 閲覧できる Jenkins オープン ソース サーバーが たくさん 発見されました。

このように 誰でも 簡単に アクセスできる オープン ソース サーバーの場合、サーバー 管理者の 詳細の注意と 攻撃対象領域に対する セキュリティ点検が 必要となります。

データの提供 : Criminal IP(https://www.criminalip.io/ja)

参照 :

https://blog.criminalip.io/2022/05/31/deface/?lang=ja
https://blog.criminalip.io/2022/06/27/favicon-hash/?lang=ko
タグ:

コメントを残す

%d