详细内容或原文请订阅后点击阅览
Jenkins:从 CI/CD 到地下加密实验室
易受攻击的服务器如何变成隐形矿机?
来源:安全实验室新闻频道趋势科技最近的一项研究发现,攻击者可以使用 Jenkins 脚本控制台运行旨在挖掘加密货币的恶意脚本。如果身份验证配置不正确(允许访问控制台并允许远程代码执行 (RCE)),则可能会发生这种情况。
最近的研究 趋势科技 詹金斯 远程代码执行Jenkins作为一个开放的持续集成和交付(CI/CD)解决方案,为自动化软件开发提供了强大的能力。然而,配置错误的服务器和过时的 Jenkins 版本可能成为黑客想要启动加密货币挖矿程序和其他恶意软件的目标。
Jenkins 脚本控制台允许管理员和授权用户使用系统权限执行 Groovy 脚本。如果身份验证配置不正确,攻击者就可以访问此控制台并使用它来运行恶意脚本。
攻击者经常使用 Shodan 等工具来查找 Internet 上可用的易受攻击的 Jenkins 服务器。研究发现,其中许多服务器没有得到适当的保护,可能会被用于实际攻击。虽然并非所有可公开访问的 Jenkins 服务器都容易受到攻击,但它们很可能成为黑客的入口点。
在攻击中,攻击者将 Base64 编码的脚本注入系统,该脚本通过 Jenkins 脚本控制台启动。该脚本检查它是否在 BusyBox 环境中运行,如果是,则退出。然后,该脚本会查找具有写入权限的目录来下载并运行加密货币挖矿程序。
为了保持矿工运行,攻击者使用 cron 作业和 systemd-run 实用程序。 Cron 作业确保矿工定期运行,systemd-run 确保矿工每小时运行一次。这些方法可确保矿工在系统可能重新启动的情况下持续工作。