Radware研究人員發(fā)現(xiàn)，可以利用12,000多個面向Internet的Jenkins服務器中的漏洞(CVE-2020-2100)來安裝和放大針對Internet主機的反射性DDoS攻擊。

該漏洞還可以由單個欺騙的UDP數(shù)據(jù)包觸發(fā)，以對那些相同的易受攻擊的Jenkins服務器發(fā)起DoS攻擊，方法是強制它們進入無限循環(huán)的答復，除非其中一臺服務器重新啟動或具有其Jenkins，否則這些答復無法停止。

[[315150]]

關于漏洞(CVE-2020-2100)

CVE-2020-2100由劍橋大學的Adam Thorn發(fā)現(xiàn)并以負責任的方式披露，它是由默認情況下啟用并在面向公眾的服務器中公開的網(wǎng)絡發(fā)現(xiàn)服務(UDP多播/廣播)引起的。

“該漏洞使攻擊者可以通過在端口UDP / 33848上反射UDP請求來濫用Jenkins服務器，從而導致包含Jenkins元數(shù)據(jù)的DDoS攻擊放大。

這是有可能的，因為Jenkins / Hudson服務器無法正確監(jiān)視網(wǎng)絡流量，并處于打開狀態(tài)以發(fā)現(xiàn)其他Jenkins / Hudson實例。” Radware研究人員說。

攻擊者可以將UDP廣播數(shù)據(jù)包本地發(fā)送到255.255.255.255:33848，也可以將UDP多播數(shù)據(jù)包發(fā)送到JENKINS_REFLECTOR：33848。

當接收到數(shù)據(jù)包時，無論有效載荷如何，Jenkins / Hudson都會在數(shù)據(jù)報中向請求的客戶端發(fā)送Jenkins元數(shù)據(jù)的XML響應，從而使攻擊者能夠濫用其UDP多播/廣播服務進行DDoS攻擊。”

兩周前，該漏洞已在Jenkins 2.219和LTS 2.204.2中修復，方法是默認禁用Jenkins的兩個網(wǎng)絡發(fā)現(xiàn)服務(UDP多播/廣播和DNS多播)。

“需要這些特征可以通過設置系統(tǒng)屬性再次重新啟用它們管理系統(tǒng)：hudson.DNSMultiCast.disabled到假(對于DNS多播)或系統(tǒng)屬性hudson.udp至33848， ”詹金斯開發(fā)商的解釋咨詢。

禁用UDP多播/廣播服務的替代方法是添加防火墻策略以阻止對端口UDP / 33848的訪問。

危險之處

“類似于memcached，在開源Jenkins項目上進行設計和開發(fā)的人們都認為這些服務器將面向內(nèi)部，” Radware的網(wǎng)絡安全宣傳員Pascal Geenens告訴Help Net Security。不幸的是，現(xiàn)實是許多Jenkins服務器最終被公開暴露。

[[315151]]

Radware在Internet上掃描了易受CVE-2020-2100影響的Jenkins服務器，發(fā)現(xiàn)其中近13,000臺服務器分布在全球，但主要分布在亞洲，歐洲和北美。而且，大多數(shù)公開的服務器都位于頂級服務提供商內(nèi)。

“許多DevOps團隊依靠Jenkins來構建，測試和持續(xù)部署在云和共享托管環(huán)境(例如Amazon，OVH，Hetzner，Host Europe，DigitalOcean，Linode等)中運行的應用程序，” Geenens指出。

Radware的研究人員確定了當前所有暴露的服務器上Jenkins反射放大攻擊的平均帶寬放大系數(shù)：3.00。研究人員總結說：“它與全球超過12,000臺暴露的Jenkins服務器結合在一起，構成了可行的DDoS威脅。”