开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击

聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

用于执行自动化任务的开源服务器 Jenkins 可被滥用于发动分布式拒绝服务 (DDoS)攻击。

Jenkins代码库中存在一个漏洞 (CVE-2020-2100),可被滥用于发动 DDoS攻击,不过已在上个月发布的 Jenkins v2.219 中修复。

Jenkins安全公告指出,Jenkins安装程序支持两个网络发现协议,即 UDP 多播/广播协议和第二个 DNS 多播协议。这两个协议默认启用,它们的作用是供 Jenkins 互相检测并以集群形式运作。

众所周知,UDP 协议可导致攻击者放大 DDoS 攻击的流量部分,之后用于攻击既定目标。去年,来自剑桥大学的 Adam Thom 发现攻击者可以使用 Jenkins UDP 发现协议(活跃于 UDP 端口33848)执行同样的操作,并滥用它放大和反弹 DDoS攻击的流量部分。

Jenkins团队表示,“该服务的单字节请求会以超过100字节的 Jenkins 元数据进行响应,而这些元数据可被滥用于 Jenkins 主服务器上的 DDoS 攻击活动中,从而将针对攻击目标的初始流量放大到最高100倍。”该放大因子为100倍,高于平均水平,接近危险程度。然而,DDoS缓解社区有人表示曾在上周测试该攻击向量。结果显示尽管放大因子虽然很大,但攻击并不可靠,因为(遭互联网暴露的)Jenkins 服务器被这种方式滥用时会崩溃。

不过,更大的问题在于该漏洞还具有的一种作用是,Jenkins 服务器可被诱骗互相发送连续数据包,从而使互联网上的 Jenkins 服务器进入无限循环并最终崩溃。

如Jenkins 服务器被暴露到互联网,则建议企业更新至2.219版本或者至少拦截端口33848的任何入站流量。

推荐阅读

开源的 Jenkins 服务器配置不当或导致著名机构敏感数据遭泄露

Jenkins开源自动化服务器修复RCE漏洞

原文链接

https://www.zdnet.com/article/jenkins-servers-can-be-abused-for-ddos-attacks/

题图:Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”,bounty 不停~        

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值