全球网络安全领导者趋势科技就最近针对配置错误的 Jenkins 服务器发起的一波攻击发出警告。网络犯罪分子利用 Jenkins 脚本控制台中的漏洞非法安装和运行加密货币挖掘软件,窃取毫无戒心的组织的计算资源。
Jenkins 脚本控制台是此问题的核心,该工具允许管理员和授权用户直接在 Jenkins 服务器上执行 Groovy 脚本。默认情况下,此控制台仅限于具有管理权限的经过身份验证的用户使用。但是,配置错误(例如设置不正确的身份验证机制或启用“注册”或“注册”选项)可能会使 Jenkins 遭受未经授权的访问和远程代码执行(RCE)。
感染链
攻击方法
-
初始访问和脚本执行:恶意行为者使用 Shodan 等工具搜索暴露的Jenkins服务器。获得访问权限后,他们利用 Groovy 插件中的错误配置通过脚本控制台执行 Base64 编码的恶意脚本。
-
资源管理和持久性:脚本检查系统资源,终止消耗超过 90% CPU 资源的进程,以确保高效挖掘。然后,它会搜索可写目录来存储加密矿工,必要时默认为 /tmp,并从受感染的网站下载挖掘二进制文件。
-
加密和解密:下载的二进制文件是 AES-256 加密的 tar 文件。脚本使用 OpenSSL 解密并提取文件,分配可执行权限并通过 cron 作业和 systemd-run 命令确保持久性。
-
执行和逃避:脚本使用各种方法来确保矿工持续运行并逃避检测。它设置陷阱以忽略终止信号,使用 systemd-run 安排执行,并使用 cron 作业来维持矿工的活动。
为了保护 Jenkins 服务器免受这一新兴威胁,趋势科技强烈建议实施以下安全措施:
-
脚本批准:利用脚本批准功能在服务器上执行任何脚本之前强制进行手动审查和授权。
-
强大的身份验证和授权:实施严格的访问控制,包括强密码、双因素身份验证和基于角色的权限,以限制对脚本控制台的访问。
-
全面的审计日志:定期监控审计日志中是否存在异常或未经授权的脚本执行,这可能表明存在泄露。
-
网络分段:将 Jenkins 服务器与公共互联网隔离,最大限度地减少潜在攻击者的攻击。如有必要,使用 VPN 等安全通道进行远程访问。
-
及时更新和修补:确保 Jenkins 和所有相关插件始终使用最新的安全补丁进行更新,以解决已知漏洞。
https://www.trendmicro.com/en_us/research/24/g/turning-jenkins-into-a-cryptomining-machine-from-an-attackers-pe.html
原文始发于微信公众号(独眼情报):配置错误的 Jenkins 服务器成为加密劫持攻击的目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论