Los servidores de Jenkins pueden ser abusados ​​por ataques DDoS


jenkins.png

Se puede abusar de Jenkins, un servidor de código abierto que se utiliza para realizar tareas automatizadas, para lanzar ataques de denegación de servicio distribuido (DDoS).

Los ataques DDoS son posibles debido a una vulnerabilidad en la foundation de código de Jenkins. El mistake (rastreado como CVE-2020-2100) se ha corregido en Jenkins v2.219, lanzado el mes pasado.

Según el aviso de seguridad de Jenkins, las instalaciones de Jenkins admiten dos protocolos de descubrimiento de crimson, a saber, un protocolo de multidifusión / difusión UDP y un segundo protocolo de multidifusión DNS.

Ambos protocolos están habilitados por defecto. Se utilizan para que los servidores de Jenkins puedan detectarse entre sí y trabajar en clústeres.

El protocolo UDP es universalmente conocido por permitir que los atacantes amplifiquen parte del tráfico de los ataques DDoS y luego lo devuelvan al objetivo previsto del ataque.

El año pasado, Adam Thorn, de la Universidad de Cambridge, descubrió que un atacante podía hacer lo mismo con el protocolo de descubrimiento UDP Jenkins (activo en el puerto UDP 33848) y abusar de él para amplificar y rebotar parte del tráfico de los ataques DDoS.

«Una solicitud de un solo byte a este servicio respondería con más de 100 bytes de metadatos de Jenkins que podrían usarse en un ataque DDoS en un maestro de Jenkins». el equipo de Jenkins dijo, lo que sugiere que se podría abusar de los servidores Jenkins en ataques DDoS que amplifican el tráfico inicial hasta 100 veces hacia los objetivos de ataque.

Un component de amplificación de 100 se considera remarkable a la media, por ser bastante peligroso.

Sin embargo, ZDNet ha pedido a una fuente en la comunidad de mitigación DDoS que pruebe este vector de ataque la semana pasada. Los resultados han demostrado que a pesar de tener un variable de amplificación bastante grande, el ataque no es confiable, ya que los servidores Jenkins (expuestos a Internet) tienden a fallar cuando se abusa de esta manera.

Sin embargo, el problema más grande es que el mismo error tiene un efecto secundario, es decir, que los servidores de Jenkins pueden ser engañados para que se envíen paquetes continuos entre sí, haciendo que los servidores de Jenkins en World-wide-web entren en un bucle infinito y finalmente se bloqueen.

Se recomienda a las compañías que tienen servidores Jenkins expuestos en Online que actualicen a v2.219, o al menos bloqueen el tráfico entrante al puerto 33848.



Enlace a la noticia authentic