Jenkins, сервер с открытым исходным кодом, используемый для
выполнения автоматизированных задач, может использоваться для запуска атак
распределенного отказа в обслуживании (DDoS).
DDoS-атаки возможны из-за уязвимости в кодовой базе Jenkins.
Ошибка (отслеживаемая как CVE-2020-2100) была исправлена в Jenkins v2.219,
выпущенном в прошлом месяце.
Согласно сообщению безопасности Jenkins, установки Jenkins
поддерживают два протокола обнаружения сети, а именно протокол многоадресной /
широковещательной передачи UDP и второй протокол многоадресной рассылки DNS.
Оба протокола включены по умолчанию. Они используются для того,
чтобы серверы Jenkins могли обнаруживать друг друга и работать в кластерах.
Протокол UDP общеизвестен тем, что позволяет злоумышленникам
усилить часть трафика DDoS-атак, а затем отразить его для предполагаемой цели
атаки.
В прошлом году Адам Торн из Университета Кембриджа обнаружил,
что злоумышленник может сделать то же самое с протоколом обнаружения UDP
Jenkins (активным для UDP-порта 33848), и злоупотребил им, чтобы усилить и
отразить часть трафика DDoS-атак.
«Однобайтовый запрос к этой службе будет отвечать более чем 100
байтами метаданных Jenkins, которые могут быть использованы в DDoS-атаке на
мастера Jenkins», - сказала команда Jenkins, предположив, что серверы Jenkins
могут быть использованы в DDoS-атаках, которые усиливают начальный уровень.
движение до 100 раз по направлению к целям атаки.
Тем не менее, ZDNet попросил источник в сообществе по борьбе с
DDoS протестировать этот вектор атаки на прошлой неделе. Результаты показали,
что несмотря на довольно большой коэффициент усиления, атака не является
надежной, так как серверы Jenkins (открытые для Интернета) имеют тенденцию к
сбоям при подобном злоупотреблении.
Однако большая проблема заключается в том, что та же самая
ошибка имеет вторичный эффект, а именно то, что серверы Jenkins могут быть
обмануты в отправке непрерывных пакетов друг другу, в результате чего серверы
Jenkins через Интернет входят в бесконечный цикл и в конечном итоге приводят к
сбою.
Компаниям с открытыми в Интернете серверами Jenkins
рекомендуется обновить систему до версии 2.219 или, по крайней мере,
заблокировать любой входящий трафик на порт 33848.
Комментариев нет:
Отправить комментарий