Menace de sécurité : Comment des serveurs Jenkins mal configurés peuvent être exploités par des attaquants
Des chercheurs en cybersécurité ont découvert qu’il était possible pour des attaquants de weaponize des instances de la Console de Scripts Jenkins mal configurées pour mener des activités criminelles telles que le minage de cryptomonnaie.
Les mainteneurs du projet, dans la documentation officielle, notent explicitement que le shell Groovy basé sur le Web peut être utilisé pour lire des fichiers contenant des données sensibles (par exemple, « /etc/passwd »), décrypter des identifiants configurés dans Jenkins, et même reconfigurer les paramètres de sécurité.
Alors que l’accès à la Console de Scripts est généralement limité aux utilisateurs authentifiés disposant de permissions administratives, des instances Jenkins mal configurées pourraient involontairement rendre le point de terminaison « /script » (ou « /scriptText ») accessible sur Internet, le rendant ainsi vulnérable à l’exploitation par des attaquants cherchant à exécuter des commandes dangereuses.
Exploitation d’un plugin Jenkins Groovy par des attaquants
Trend Micro a déclaré avoir trouvé des cas d’acteurs de menace exploitant la mauvaise configuration du plugin Jenkins Groovy pour exécuter une chaîne encodée en Base64 contenant un script malveillant conçu pour miner de la cryptomonnaie sur le serveur compromis en déployant une charge utile de minage hébergée sur berrystore[.]me et en mettant en place de la persistance.
« Le script s’assure d’avoir suffisamment de ressources système pour effectuer efficacement le minage », ont déclaré les chercheurs. « Pour ce faire, le script vérifie les processus qui consomment plus de 90% des ressources du CPU, puis procède à la suppression de ces processus. De plus, il mettra fin à tous les processus arrêtés. »
Conseils pour se protéger contre de telles tentatives d’exploitation
Pour se prémunir contre de telles tentatives d’exploitation, il est conseillé de veiller à une configuration adéquate, de mettre en place une authentification et une autorisation robustes, d’effectuer des audits réguliers, et de restreindre l’accès des serveurs Jenkins sur Internet.
Cette évolution intervient alors que les vols de cryptomonnaies dus à des piratages et à des exploits ont explosé au premier semestre de 2024, permettant aux acteurs de menace de dérober 1,38 milliard de dollars, contre 657 millions de dollars d’une année sur l’autre.
« Les cinq principales piratages et exploits ont représenté 70% du montant total volé jusqu’à présent cette année », a déclaré la plateforme d’intelligence blockchain TRM Labs. « Les compromissions de clés privées et les phrases-mères restent une principale vector d’attaque en 2024, aux côtés des exploits de contrats intelligents et des attaques de prêt flash. »
Suivez-nous sur Twitter et LinkedIn pour plus de contenu exclusif que nous publions.
Source : thehackernews.com