Опасная уязвимость Jenkins: хакеры добывают криптовалюту, используя чужие серверы

Эксперты в области кибербезопасности обнаружили, что хакеры используют уязвимости в настройках Jenkins, популярной платформы для непрерывной интеграции и доставки программного обеспечения (CI/CD), для осуществления атак с целью добычи криптовалюты.

Как сообщают аналитики компании Trend Micro Шубхам Сингх и Сунил Бхарти, неправильная настройка механизмов аутентификации позволяет злоумышленникам получить доступ к конечной точке '/script' и выполнить удалённое выполнение кода (RCE). Это открывает двери для внедрения вредоносных скриптов и злоупотреблений.

Консоль Groovy в Jenkins позволяет запускать произвольные скрипты Groovy в рамках выполнения контроллера Jenkins, включая чтение файлов с конфиденциальными данными и декриптацию учетных данных.

Доступ к этой консоли обычно ограничен и требует административных прав, однако неправильно настроенные экземпляры Jenkins могут случайно сделать эти конечные точки доступными через интернет, что и используют хакеры.

Один из обнаруженных методов включает выполнение Base64-кодированного скрипта, который запускает майнинг криптовалюты на зараженном сервере и устанавливает постоянство работы через домен berrystore.me.

Чтобы защититься от таких атак, эксперты советуют тщательно настраивать серверы, реализовать надежные механизмы аутентификации и авторизации, проводить регулярные аудиты и ограничивать доступ к серверам Jenkins из интернета.

Рост числа краж криптовалют в результате хакерских атак вырос в первой половине 2024 года, достигнув $1.38 миллиарда по сравнению с $657 миллионами в прошлом году, отмечают аналитики TRM Labs.