Radware研究人員發(fā)現(xiàn)，可以利用12,000多個面向Internet的Jenkins服務(wù)器中的漏洞(CVE-2020-2100)來安裝和放大針對Internet主機(jī)的反射性DDoS攻擊。

該漏洞還可以由單個欺騙的UDP數(shù)據(jù)包觸發(fā)，以對那些相同的易受攻擊的Jenkins服務(wù)器發(fā)起DoS攻擊，方法是強(qiáng)制它們進(jìn)入無限循環(huán)的答復(fù)，除非其中一臺服務(wù)器重新啟動或具有其Jenkins，否則這些答復(fù)無法停止。

[[315150]]

關(guān)于漏洞(CVE-2020-2100)

CVE-2020-2100由劍橋大學(xué)的Adam Thorn發(fā)現(xiàn)并以負(fù)責(zé)任的方式披露，它是由默認(rèn)情況下啟用并在面向公眾的服務(wù)器中公開的網(wǎng)絡(luò)發(fā)現(xiàn)服務(wù)(UDP多播/廣播)引起的。

“該漏洞使攻擊者可以通過在端口UDP / 33848上反射UDP請求來濫用Jenkins服務(wù)器，從而導(dǎo)致包含Jenkins元數(shù)據(jù)的DDoS攻擊放大。

這是有可能的，因?yàn)镴enkins / Hudson服務(wù)器無法正確監(jiān)視網(wǎng)絡(luò)流量，并處于打開狀態(tài)以發(fā)現(xiàn)其他Jenkins / Hudson實(shí)例。” Radware研究人員說。

攻擊者可以將UDP廣播數(shù)據(jù)包本地發(fā)送到255.255.255.255:33848，也可以將UDP多播數(shù)據(jù)包發(fā)送到JENKINS_REFLECTOR：33848。

當(dāng)接收到數(shù)據(jù)包時，無論有效載荷如何，Jenkins / Hudson都會在數(shù)據(jù)報中向請求的客戶端發(fā)送Jenkins元數(shù)據(jù)的XML響應(yīng)，從而使攻擊者能夠?yàn)E用其UDP多播/廣播服務(wù)進(jìn)行DDoS攻擊。”

兩周前，該漏洞已在Jenkins 2.219和LTS 2.204.2中修復(fù)，方法是默認(rèn)禁用Jenkins的兩個網(wǎng)絡(luò)發(fā)現(xiàn)服務(wù)(UDP多播/廣播和DNS多播)。

“需要這些特征可以通過設(shè)置系統(tǒng)屬性再次重新啟用它們管理系統(tǒng)：hudson.DNSMultiCast.disabled到假(對于DNS多播)或系統(tǒng)屬性hudson.udp至33848， ”詹金斯開發(fā)商的解釋咨詢。

禁用UDP多播/廣播服務(wù)的替代方法是添加防火墻策略以阻止對端口UDP / 33848的訪問。

危險之處

“類似于memcached，在開源Jenkins項(xiàng)目上進(jìn)行設(shè)計(jì)和開發(fā)的人們都認(rèn)為這些服務(wù)器將面向內(nèi)部，” Radware的網(wǎng)絡(luò)安全宣傳員Pascal Geenens告訴Help Net Security。不幸的是，現(xiàn)實(shí)是許多Jenkins服務(wù)器最終被公開暴露。

[[315151]]

Radware在Internet上掃描了易受CVE-2020-2100影響的Jenkins服務(wù)器，發(fā)現(xiàn)其中近13,000臺服務(wù)器分布在全球，但主要分布在亞洲，歐洲和北美。而且，大多數(shù)公開的服務(wù)器都位于頂級服務(wù)提供商內(nèi)。

“許多DevOps團(tuán)隊(duì)依靠Jenkins來構(gòu)建，測試和持續(xù)部署在云和共享托管環(huán)境(例如Amazon，OVH，Hetzner，Host Europe，DigitalOcean，Linode等)中運(yùn)行的應(yīng)用程序，” Geenens指出。

Radware的研究人員確定了當(dāng)前所有暴露的服務(wù)器上Jenkins反射放大攻擊的平均帶寬放大系數(shù)：3.00。研究人員總結(jié)說：“它與全球超過12,000臺暴露的Jenkins服務(wù)器結(jié)合在一起，構(gòu)成了可行的DDoS威脅。”