El equipo de Jenkins evita el desastre de seguridad después de la pérdida parcial de la foundation de datos del usuario


jenkins.png

Los desarrolladores del servidor de automatización de código abierto Jenkins dijeron que recuperaron con éxito su infraestructura de back again-close después de una pérdida parcial de la foundation de datos de usuarios.

El incidente tuvo lugar la semana pasada, el 2 de junio, y resultó en una interrupción del servicio. Portal de Jenifa Artifactory – utilizado por los desarrolladores de complementos de Jenkins para cargar y administrar artefactos de complementos.

El equipo de Jenkins dijo que un error en un sistema Kubernetes los obligó a reconstruir partes del portal Artifactory desde cero.

Durante este proceso de reconstrucción, el equipo de Jenkins dijo que perdió tres meses de cambios en la base de datos LDAP, incluidos los detalles sobre las cuentas de usuario utilizadas por los desarrolladores de complementos de Jenkins.

«Nuestra cuenta corporativa (42Crunch) fue una de las cuentas que se eliminó» Dmitry Sotnikov, Director de Producto en 42 Crunch, dicho ZDNet en una entrevista ayer.

Sotnikov dijo que siguieron las instrucciones proporcionadas por el equipo de Jenkins y volvieron a registrar su cuenta anterior.

«Una vez que lo hicimos, descubrimos que esta nueva cuenta obtuvo automáticamente acceso y permisos que tenía la antigua cuenta eliminada, incluida la propiedad overall de nuestra extensión Jenkins en el mercado.

«Esto significa que alguien podría habernos vencido y haber registrado una cuenta con el nombre idéntico al nuestro, y luego haber enviado algún tipo de actualización de malware a los usuarios en nuestro nombre», dijo Sotnikov.

Sotnikov también planteó el problema al private de Jenkins en su panel de discusión de Grupos de Google.

Tras el hallazgo del ejecutivo 42Crunch, el equipo de Jenkins bloqueó todas las cargas de nuevos artefactos al portal de Jenifa Artifactory para evitar que cualquier actor de la amenaza se aproveche de esta escapatoria y reemplace los artefactos (archivos) del complemento con versiones maliciosas.

No hay signos de actividad maliciosa.

El equipo de Jenkins también realizó una auditoría de seguridad. Los desarrolladores dijeron que revisaron todas las cargas de artefactos entre el 2 de junio (la interrupción) y el 9 de junio, cuando se les comunicó el problema y no encontraron cargas sospechosas.

Los desarrolladores de Jenkins dijeron que si bien un actor de amenazas podría haber subido nuevos artefactos, el peligro de impulsar una actualización maliciosa del complemento de Jenkins period pequeño porque los atacantes también habrían tenido que secuestrar la cuenta del complemento de un usuario al mismo tiempo con la cuenta de Jenkins Artifactory.

Los desarrolladores de Jenkins se están preparando para divulgar el incidente a todos los usuarios de Artifactory a quienes se les eliminaron sus cuentas durante el corte del 2 de junio y están implementando medidas de verificación adicionales para evitar cualquier intento de secuestro de cuentas por parte de terceros no autorizados.





Enlace a la noticia primary