Серверы Jenkins могут быть использованы для атак DDoS.

Jenkins, сервер с открытым исходным кодом, используемый для выполнения автоматизированных задач, может использоваться для запуска атак распределенного отказа в обслуживании (DDoS).

DDoS-атаки возможны из-за уязвимости в кодовой базе Jenkins. Ошибка (отслеживаемая как CVE-2020-2100) была исправлена ​​в Jenkins v2.219, выпущенном в прошлом месяце.

Согласно сообщению безопасности Jenkins, установки Jenkins поддерживают два протокола обнаружения сети, а именно протокол многоадресной / широковещательной передачи UDP и второй протокол многоадресной рассылки DNS.

Оба протокола включены по умолчанию. Они используются для того, чтобы серверы Jenkins могли обнаруживать друг друга и работать в кластерах.

Протокол UDP общеизвестен тем, что позволяет злоумышленникам усилить часть трафика DDoS-атак, а затем отразить его для предполагаемой цели атаки.

В прошлом году Адам Торн из Университета Кембриджа обнаружил, что злоумышленник может сделать то же самое с протоколом обнаружения UDP Jenkins (активным для UDP-порта 33848), и злоупотребил им, чтобы усилить и отразить часть трафика DDoS-атак.

«Однобайтовый запрос к этой службе будет отвечать более чем 100 байтами метаданных Jenkins, которые могут быть использованы в DDoS-атаке на мастера Jenkins», - сказала команда Jenkins, предположив, что серверы Jenkins могут быть использованы в DDoS-атаках, которые усиливают начальный уровень. движение до 100 раз по направлению к целям атаки.

Коэффициент усиления 100 считается выше среднего, поскольку является довольно опасным.

Тем не менее, ZDNet попросил источник в сообществе по борьбе с DDoS протестировать этот вектор атаки на прошлой неделе. Результаты показали, что несмотря на довольно большой коэффициент усиления, атака не является надежной, так как серверы Jenkins (открытые для Интернета) имеют тенденцию к сбоям при подобном злоупотреблении.

Однако большая проблема заключается в том, что та же самая ошибка имеет вторичный эффект, а именно то, что серверы Jenkins могут быть обмануты в отправке непрерывных пакетов друг другу, в результате чего серверы Jenkins через Интернет входят в бесконечный цикл и в конечном итоге приводят к сбою.

Компаниям с открытыми в Интернете серверами Jenkins рекомендуется обновить систему до версии 2.219 или, по крайней мере, заблокировать любой входящий трафик на порт 33848.