大規模のサーバー攻撃で続く漏洩Jenkins脆弱性の検知
2022.07.12 00:26
ジェンキンス(Jenkins)とは 全ての 言語の 組み合わせと ソース コード リポジトリに 対する 継続的 インテグレーション(Continuous integration, CI)と継続的デリバリー 環境を 構築するための オープン ソース ソフトウェアです。ジェンキンスで ビルド、テスト、及びデプロイの プロセスを 自動化し、ソフトウェアの 品質と開発 生産性を 高められます。ウェブ ベースのコンソールで 様々な 認証 ベースと 結びつけられ、1,800 以上の プラグインを 使用して ソフトウェアの 自動化 開発を サポートします。このような 利便性で 世界中 百万人以上の ユーザーが あります。ビルド、デリバリー以外も スケジューリングを 利用した デプロイ 作業に 活用されたり、プラグインを 直接開発して 機能を 拡張できるので エンジニアが 好む システムです。
高い費用がかからないオープン ソースのメリットがありますが、逆に誰でもアクセスできるというリスクが存在します。特に、多数のエンジニアが一つのプログラムを開発するとき、バージョンの衝突を避けるために、それぞれ作業した内容をシェアの領域にあるストレージへ頻繫にアップロードするため、無防備状態のジェンキンス サーバーはハッカーの攻撃対象がなりうるです。また、一気にデリバリーや処理するため、ジェンキンス オープ ンソース サーバーに何十、何百のサーバーが連結されて使用されています。すなわち、管理されない一つのオープン ソース サーバーで何百台のサーバーが丸ごとハッカーの手にコントロールされる大規模のセキュリティ事故へつながる可能性があります。
7月3日、セキュリティ ブログである Security Affairs で公開された何十のジェンキンス プラグインゼロデイ脆弱性はこのような危険性をそのまま反証しています。
Criminal IPでは様々なフィルターでジェンキンス サーバーを使用する IP アドレスを照会できます。
Criminal IP(https://www.criminalip.io/ja)の favicon フィルターはウェブサイトのファビコン ハッシュを検索して IP アドレスを照会できる機能です。Favicon とは favorites + icon の複合語で、ウェブサイトを代表するアイコンです。ほぼすべての企業や公共機関のウェブサイトとユーザーに提供されるサービスのウェブページでは大体このようなファビコンが適用されています。Criminal IP はファビコン ハッシュ アルゴリズムの16陣数を使っていて、上のファビコンハッシュの計算機で確認した10陣数の値を16陣数で変換した後、検索すればよいです。これに基づき、オープン ソース サーバーの Jenkins のファビコン ハッシュを検索してみると、全て2,263の x-jenkins オープン ソース サーバーを利用している IP アドレスが確認されます。favicon フィルターの利用チップは下に添付した ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知の Search Tip をご参照ください。
高い費用がかからないオープン ソースのメリットがありますが、逆に誰でもアクセスできるというリスクが存在します。特に、多数のエンジニアが一つのプログラムを開発するとき、バージョンの衝突を避けるために、それぞれ作業した内容をシェアの領域にあるストレージへ頻繫にアップロードするため、無防備状態のジェンキンス サーバーはハッカーの攻撃対象がなりうるです。また、一気にデリバリーや処理するため、ジェンキンス オープ ンソース サーバーに何十、何百のサーバーが連結されて使用されています。すなわち、管理されない一つのオープン ソース サーバーで何百台のサーバーが丸ごとハッカーの手にコントロールされる大規模のセキュリティ事故へつながる可能性があります。
7月3日、セキュリティ ブログである Security Affairs で公開された何十のジェンキンス プラグインゼロデイ脆弱性はこのような危険性をそのまま反証しています。
Criminal IPでは様々なフィルターでジェンキンス サーバーを使用する IP アドレスを照会できます。
ファビコン検索を活用した Jenkins サーバーの IP アドレスの照会
Criminal IP(https://www.criminalip.io/ja)の favicon フィルターはウェブサイトのファビコン ハッシュを検索して IP アドレスを照会できる機能です。Favicon とは favorites + icon の複合語で、ウェブサイトを代表するアイコンです。ほぼすべての企業や公共機関のウェブサイトとユーザーに提供されるサービスのウェブページでは大体このようなファビコンが適用されています。Criminal IP はファビコン ハッシュ アルゴリズムの16陣数を使っていて、上のファビコンハッシュの計算機で確認した10陣数の値を16陣数で変換した後、検索すればよいです。これに基づき、オープン ソース サーバーの Jenkins のファビコン ハッシュを検索してみると、全て2,263の x-jenkins オープン ソース サーバーを利用している IP アドレスが確認されます。favicon フィルターの利用チップは下に添付した ファビコン ハッシュでフィッシング及び脆弱なアプリケーション IP アドレスの検知の Search Tip をご参照ください。
favicon: 4dce888
Criminal IPのIT資産検索で favicon: 4dce888 を検索した結果
照会された Jenkinsオープンソース サーバーの検索結果の中で一つのウェブサイトへアクセスすると、実際のJenkins サーバーページへアクセスできます。
別の認証がないまま照会できる漏洩された Jenkins サーバー ページ
タイトル検索で公開されたJenkins脆弱性の検知
また別の方法で、title フィルター検索で Jenkins オープ ンソース サーバーを使っている IP アドレスを照会できます。Criminal IP(https://www.criminalip.io/ja)の titleフィルターはウェブページの Meta tag の中でタイトルにキーワードが含まれているIPアドレスを結果として見せます。titleフィルターの他の用例は サイト権限まで奪い取られた deface サイト、title フィルターで検知 Search Tip でご参照ください。
Criminal IP IT資産検索(https://www.criminalip.io/ja/asset)で “title: x-jenkins” を検索すると、全て6の Jenkins オープ ンソース サーバーを使っている IP アドレスが確認されます。
title: x-jenkins
Criminal IP IT資産検索で title: x-jenkins を検索した結果
この中には一つの認証もないまま、すぐに開発ソース コードを見られるページも含まれています。
そのページではソフトウェアのビルドの待機、実行状態リストを何の制限もないまま照会できました。
また、既にデリバリーに成功した結果も何の制限もないまま見られました。
これは深刻な攻撃対象領域にさらされている Jenkins 脆弱性 で情報漏れの原因になりうるです。
その他にも、Criminal IP(https://www.criminalip.io/ja)ではウェブページの title と favicon がない状態の Jenkins オープン ソース サーバーを使用する IP アドレスを紹介できます。そのクエリーで検索するとき、全て4,196の Jenkins オープン ソース サーバーを使用している IP アドレスを照会できます。
この中には一つの認証もないまま、すぐに開発ソース コードを見られるページも含まれています。
一つの認証もないまま、外部へ公開されている開発ソースコードストレージサーバー
そのページではソフトウェアのビルドの待機、実行状態リストを何の制限もないまま照会できました。
別の検証なしで照会できるソフトウェアのビルド、待機リスト
また、既にデリバリーに成功した結果も何の制限もないまま見られました。
別の検証なしで照会できるソフトウェアのデリバリー状態
これは深刻な攻撃対象領域にさらされている Jenkins 脆弱性 で情報漏れの原因になりうるです。
その他にも、Criminal IP(https://www.criminalip.io/ja)ではウェブページの title と favicon がない状態の Jenkins オープン ソース サーバーを使用する IP アドレスを紹介できます。そのクエリーで検索するとき、全て4,196の Jenkins オープン ソース サーバーを使用している IP アドレスを照会できます。
X_Hudson X_Jenkins 200
Criminal IP IT資産検索で X_Hudson X_Jenkins 200 クエリーを検索した結果
上の結果でも別の認証もない状態で閲覧できるJenkinsオープンソースサーバーがたくさん発見されました。
このように誰でも簡単にアクセスできるオープンソース サーバーの場合、サーバー管理者の 詳細の注意と攻撃対象領域に対するセキュリティ点検が必要となります。
上の結果でも別の認証もない状態で閲覧できるJenkinsオープンソースサーバーがたくさん発見されました。
このように誰でも簡単にアクセスできるオープンソース サーバーの場合、サーバー管理者の 詳細の注意と攻撃対象領域に対するセキュリティ点検が必要となります。
データの提供
- Criminal IP
▶ https://www.criminalip.io/ja