Radware研究人员发现,可以利用12,000多个面向Internet的Jenkins服务器中的漏洞(CVE-2020-2100)来安装和放大针对Internet主机的反射性DDoS攻击。
该漏洞还可以由单个欺骗的UDP数据包触发,以对那些相同的易受攻击的Jenkins服务器发起DoS攻击,方法是强制它们进入无限循环的答复,除非其中一台服务器重新启动或具有其Jenkins,否则这些答复无法停止。
关于漏洞(CVE-2020-2100)
CVE-2020-2100由剑桥大学的Adam Thorn发现并以负责任的方式披露,它是由默认情况下启用并在面向公众的服务器中公开的网络发现服务(UDP多播/广播)引起的。
“该漏洞使攻击者可以通过在端口UDP / 33848上反射UDP请求来滥用Jenkins服务器,从而导致包含Jenkins元数据的DDoS攻击放大。
这是有可能的,因为Jenkins / Hudson服务器无法正确监视网络流量,并处于打开状态以发现其他Jenkins / Hudson实例。” Radware研究人员说。
攻击者可以将UDP广播数据包本地发送到255.255.255.255:33848,也可以将UDP多播数据包发送到JENKINS_REFLECTOR:33848。
当接收到数据包时,无论有效载荷如何,Jenkins / Hudson都会在数据报中向请求的客户端发送Jenkins元数据的XML响应,从而使攻击者能够滥用其UDP多播/广播服务进行DDoS攻击。”
两周前,该漏洞已在Jenkins 2.219和LTS 2.204.2中修复,方法是默认禁用Jenkins的两个网络发现服务(UDP多播/广播和DNS多播)。
“需要这些特征可以通过设置系统属性再次重新启用它们管理系统:hudson.DNSMultiCast.disabled到假(对于DNS多播)或系统属性hudson.udp至33848, ”詹金斯开发商的解释咨询。
禁用UDP多播/广播服务的替代方法是添加防火墙策略以阻止对端口UDP / 33848的访问。
危险之处
“类似于memcached,在开源Jenkins项目上进行设计和开发的人们都认为这些服务器将面向内部,” Radware的网络安全宣传员Pascal Geenens告诉Help Net Security。不幸的是,现实是许多Jenkins服务器最终被公开暴露。
Radware在Internet上扫描了易受CVE-2020-2100影响的Jenkins服务器,发现其中近13,000台服务器分布在全球,但主要分布在亚洲,欧洲和北美。而且,大多数公开的服务器都位于顶级服务提供商内。
“许多DevOps团队依靠Jenkins来构建,测试和持续部署在云和共享托管环境(例如Amazon,OVH,Hetzner,Host Europe,DigitalOcean,Linode等)中运行的应用程序,” Geenens指出。
Radware的研究人员确定了当前所有暴露的服务器上Jenkins反射放大攻击的平均带宽放大系数:3.00。研究人员总结说:“它与全球超过12,000台暴露的Jenkins服务器结合在一起,构成了可行的DDoS威胁。”
