آخرین اخبار
صفحه اصلی
اخبار

افشاء داده‌های حساس توسط کارگزارهای Jenkins

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
452 نمایش ها

کمیته رکن چهارم – یک پژوهش‌گر با بررسی کارگزارهای Jenkins متوجه شده است که بسیاری از این کارگزارها، از جمله برخی از آن‌ها که متعلق به شرکت‌های برجسته هستند، اطلاعات حساس را افشاء می‌کنند.

این پژوهش‌گر که Mikail Tunç نام دارد، از موتور جست‌وجوی Shodan استفاده کرد و متوجه شد که کارگزارهای Jenkins از اینترنت قابل دسترسی هستند و تقریبا ۲۵ هزار نمونه شناسایی کرد.

این پژوهش‌گر تقریبا نیمی از این کارگزارها را مورد تجزیه و تحلیل قرار داد و تشخیص داد که ۱۰ تا ۲۰ درصد از آن‌ها به طور نادرستی پیکربندی شده‌اند. او هفته‌ها زمان صرف کرد تا به صورت دستی اعتبار آسیب‌پذیری که شناسایی کرده بود را مشخص کند و به فروشندگانی که تحت تاثیر این اشکال هستند اطلاع داد.

کارگزار Jenkins یک کارگزار خودکار متن‌باز است که توسط توسعه‌دهندگان نرم‌افزار برای یکپارچه‌سازی و تحویل مداوم مورد استفاده قرار می‌گیرد. از آن‌جایی که این محصول به طور معمول به یک مخزن کد مانند گیت‌هاب و یک محیط ابری مانند AWS یا Azure متصل است، یک اشکال در پیکربندی این برنامه می‌تواند خطر جدی امنیتی ایجاد کند.

برخی از سامانه‌های کشف شده توسط Tunç که به صورت نادرستی پیکربندی شده‌اند، به طور پیش‌فرض مجوز‌های مهمان یا مدیر را ارائه می‌دهند، در حالی که سایر سامانه‌ها برای تمام کسانی که یک حساب کاربری ثبت کرده‌اند، دسترسی مهمان یا مدیر را ارائه می‌دهند. برخی از کارگزارهای Jenkins از یک سامانه‌ی احراز هویت SAML/OAuth که به گیت‌هاب یا بیت‌باکت متصل است، استفاده می‌کنند، اما این کارگزارها نه فقط به حساب‌های کاربری این سازمان، بلکه به تمام حساب‌های کاربری گیت‌هاب یا بیت‌باکت اجازه می‌دهند که وارد سامانه شوند.

این پژوهش‌گر گفت: «اکثر کارگزارهای Jenkins که به طور نادرستی پیکربندی شده‌اند، اطلاعات حساسی از جمله گواهی‌نامه‌های مربوط به مخازن کدهای منبع خصوصی، گواهی‌نامه‌هایی برای محیط‌های توسعه (به عنوان مثال نام کاربری، گذرواژه، کلیدهای خصوصی و نشانه‌های AWS)، و پرونده‌های ورود به سامانه که شامل گواهی‌نامه‌ها و سایر داده‌های حساس هستند، را افشاء می‌کنند.»

یکی از نمونه‌های Jenkins که داده‌های حساسی را افشاء می‌کند، متعلق به گوگل است، اما این غول فناوری پس از این‌که از طریق برنامه ی پاداش در ازای اشکال خود از این اشکال مطلع شد، به سرعت آن را وصله کرد.

این پژوهش‌گر همچنین چند شرکت بزرگ انگلیسی از جمله Transport for London، فروشگاه‌های بزرگ Sainsbury’s and Tesco، شرکت اعتبارسنجی ClearScore، ناشر آموزشی پیرسون، و ناشر روزنامه‌ی News UK را نیز نام برد. برخی از این شرکت‌ها ادعا کرده‌اند که برخی از اطلاعات حساس آن‌ها افشاء شده است، اما Tunç گفت که اغلب در رابطه با افشاء مسئولانه‌ی یافته‌های خود با مشکلاتی مواجه می‌شود.

این پژوهش‌گر در یک پست وبلاگی گفت: «من می‌خواهم کاملا روشن کنم که از هیچ آسیب‌پذیری برای دسترسی به کارگزارهای Jenkins بهره‌برداری نکرده‌ام؛ من فقط آسیب‌پذیری‌ها را کشف کرده و آن‌ها را به فروشندگان اعلام کرده‌ام.»

با این حال Tunç به خاطر کاری که انجام داده است محصولات و هزینه‌هایی را نیز از طرف شرکت‌هایی که به آن‌ها اطلاع داده بود، دریافت کرد، کارگزارهای Jenkins که به طور نادرست پیکربندی شده‌اند می‌توانند بسیار مشکل‌ساز باشند و برخی از فروشندگان جایزه‌های قابل توجهی را برای کشف چنین حفره‌های امنیتی پرداخت می‌کنند.

چند ماه پیش، دو پژوهش‌گر گزارش دادند که پس از شناسایی نمونه‌های آسیب‌پذیری از Jenkins که امکان اجرای کد دلخواه و دسترسی به داده‌های حساس را فراهم می‌کردند، در مجموع ۲۰ هزار دلار از Snapchat دریافت کرده‌اند.

منبع : news.asis.io

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.