-
Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641.
Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betreibern von Jenkins Servern selbst, da ein Hacker mit nur einem „gespooften“ UDP-Paket eine Endlosschleife aus Anfragen und Antworten zwischen mehreren Jenkins Servern initiieren kann, die erst beendet wird, wenn auch die jeweiligen Services beendet werden.
„Viele DevOps-Teams verlassen sich auf Jenkins, um ihre Anwendungen zu entwickeln, zu testen und kontinuierlich in Cloud- und Shared Hosting-Umgebungen wie Amazon, OVH, Hetzner, Host Europe, DigitalOcean, Linode und vielen anderen zu implementieren“ so Pascal Geenens, Cyber Security Evangelist bei Radware. „Ähnlich wie bei Memcrashed gehen die Leute, die im Rahmen des Open-Source-Projekts Jenkin entwickeln, davon aus, dass diese Server nur intern zur Verfügung stehen werden. In Wirklichkeit funktionieren diese Annahmen jedoch nicht gut, und viele Jenkins-Server sind tatsächlich öffentlich zugänglich.“
Reflective DoS
Jenkins unterstützt standardmäßig zwei Netzwerkerkennungsdienste: UDP-Multicast/Broadcast und DNS-Multicast. Die Schwachstelle ermöglicht es Angreifern, Jenkins-Server zu missbrauchen, indem sie UDP-Anforderungen von Port UDP/33848 aus reflektieren, was zu einem verstärkten DDoS-Angriff mit Jenkins-Metadaten führt. Dies ist möglich, weil Jenkins/Hudson-Server den Netzwerkverkehr nicht ordnungsgemäß überwachen und offen gelassen werden, um andere Jenkins/Hudson-Instanzen zu entdecken. Jenkins/Hudson hört jeden Datenverkehr auf dem UDP-Port 33848 ab und reagiert darauf. Ein Angreifer kann entweder lokal ein UDP-Broadcast-Paket an 255.255.255.255.255:33848 senden oder er kann ein UDP-Multicast-Paket an JENKINS_REFLECTOR:33848 einsetzen. Wenn ein Paket empfangen wird, sendet Jenkins oder sein Vorgänger Hudson unabhängig von der Nutzlast eine XML-Antwort mit Metadaten in einem Datagramm an den anfordernden Client. Durch die Erstellung von UDP-Paketen mit der IP eines Opfers als Quelle und der IP eines exponierten Jenkins-Servers und Port udp/33848 als Ziel kann ein böswilliger Akteur eine reflektierende Flut von Paketen zwischen dem Jenkins-Server und dem Opfer erzeugen. Der Verstärkungsfaktor variiert zwischen den Jenkins-Servern, beträgt aber im Durchschnitt 6,44.
Endlosschleife zwischen Jenkins-Servern
Sorgfältig gestaltete UDP-Pakete können auch zwei Jenkins-Server in eine Endlosschleife von Antworten bringen, wodurch ein Denial-of-Service gegen beide Server verursacht wird. Dies ist möglich, weil der Jenkins-Discovery-Service auf jede Anfrage reagiert, unabhängig von deren Inhalt. Ein UDP-Paket, das als Quelle die IP eines exponierten Servers und als Ziel die IP eines anderen exponierten Jenkins-Servers verwendet, wobei sowohl Quelle als auch Ziel auf den Port udp/33848 des Jenkins-Discovery Service gesetzt sind, gehen beide Jenkins-Server in eine unendliche Antwortschleife. Ein böswilliger Akteur wäre laut Radware zudem in der Lage, mehrere unendliche Antwortschleifen zwischen beliebigen exponierten Jenkins-Servern im Internet zu erstellen, wodurch schließlich ein vollständig vermaschter, unendlicher Strom von Paketen zwischen den exponierten Internet-Hosts entsteht.
Wenn der Port udp/33848 im Internet offengelegt wird, wird er zu einer öffentlichen Bedrohung und kann für DrDoS mit Verstärkung missbraucht oder dazu genutzt werden, die Jenkins-Cluster mehrerer Organisationen auszuschalten. Die Schwachstelle wurde in Jenkins 2.219 und LTS 2.204.2 behoben, indem sowohl UDP-Multicast/Broadcast als auch DNS-Multicast standardmäßig deaktiviert wurden.
Verantwortlicher für diese Pressemitteilung:
Radware GmbH
Herr Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen
Deutschlandfon ..: +49 6103 70657-0
web ..: http://www.radware.com
email : info_de@radware.comPressekontakt:
Prolog Communications GmbH
Herr Achim Heinze
Sendlinger Str. 24
80331 Münchenfon ..: +49 89 800 77-0
web ..: http://www.prolog-pr.com
email : achim.heinze@prolog-pr.comDisclaimer: Diese Pressemitteilung wird für den darin namentlich genannten Verantwortlichen gespeichert. Sie gibt seine Meinung und Tatsachenbehauptungen und nicht unbedingt die des Diensteanbieters wieder. Der Anbieter distanziert sich daher ausdrücklich von den fremden Inhalten und macht sich diese nicht zu eigen.
Bitte beachten Sie, dass für den Inhalt der hier veröffentlichten Meldung nicht der Betreiber von Presseverteiler.me verantwortlich ist, sondern der Verfasser der jeweiligen Meldung selbst. Weitere Infos zur Haftung, Links und Urheberrecht finden Sie in den AGB.
Jenkins Server von internen Endlosschleifen bedroht
auf Presseverteiler publiziert am 10. Februar 2020 in der Rubrik Presse - News
News wurde 57 x angesehen
Sie wollen diese Pressemitteilung verlinken? Der Quellcode lautet:
Domain Adressen die Sie kaufen können - jetzt informieren.
Web-Adressen die wir aus unserem Bestand verkaufen. Dazu zählen u.a.:- informieren vergleichen sparen (www.informieren-vergleichen-sparen.de)
- informieren vergleichen (www.informieren-vergleichen.de)
- informieren sparen (www.informieren-sparen.de)
- informieren vergleichen kaufen (www.informieren-vergleichen-kaufen.net)
- informieren buchen sparen (www.informieren-buchen-sparen.de)
- informieren vergleichen buchen reisen (www.informieren-vergleichen-buchen-reisen.de)
- buchen Sie online (www.buchen-sie-online.de)
Jenkins Server von internen Endlosschleifen bedroht
Lesezeit dieser Pressemitteilung ca. 2 Minuten, 16 Sekunden
Presseartikel-ID 35079
auf Presseverteiler suchen
online Presseverteiler von Pressemitteilungen
Die Veröffentlichung von Pressemitteilungen im Web wird durch einen Presseverteiler vereinfacht. Mit einem Klick sendet dieser Ihren Content an diverse Portale weiter. Arbeitszeit und Geld sparen - bequemer kann Pressearbeit nicht sein.
neue Pressemitteilungen
- Endeavour Silver stellt Update zum Baufortschritt bei Terronera im ersten Quartal 2024 bereit; Baufortschritt erreicht 53 % der Fertigstellung
- Desert Gold kündigt Privatplatzierung ohne Brokerbeteiligung mit Lead Orders im Wert von 910.000 C$ an
- Neue SEO-Challenge läuft: Agenturtipp.de startete am 16.04.2024 den originellen „RankensteinSEO“-Wettstreit!
- Zeitgewinn für Steuerberater in der hektischen Jahreszeit durch Marketing-Automatisierung
- Erfolgreiches Geschäftsjahr 2023 bei HanseWerk-Tochter SH Netz: 12,5 Millionen Euro Dividende für Kommunen
- In Krisenzeiten greifen Investoren zu Gold und Staatsanleihen
- FendX optimiert seine REPELWRAP(TM)-Folie durch zusätzliche Produktionstestläufe auf der kommerziellen Fertigungslinie von Dunmore und informiert über Neuigkeiten aus dem Unternehmen
- First Phosphate durchteuft von der Oberfläche beginnend 92,5 m mit 11,82 % vulkanischem Phosphat auf seinem Projekt Bégin-Lamarche in Saguenay-Lac-St-Jean im kanadischen Quebec
- Millennial Potash schließt positive PEA mit einem Nettogegenwartswert nach Steuern(10) von 1,07 Mrd. $ und einem IRR von 32,6 % für sein Kaliprojekt Banio ab
- thalest group AG: Von der Vergangenheit in die Zukunft – Immobilien umnutzen mit Weitblick
- Neuer SEO-Contest: Agenturtipp.de startete am 16. 04.2024 den „RankensteinSEO“-Wettbewerb!
- Der AccutoxTOX ARM-002-Impfstoff zur Krebsbekämpfung führt zu einer hochwirksamen Antigenpräsentation
- Vital Battery Metals kündigt Explorations- & Bohrprogramm 2024 in seinem Kupferprojekt Sting an
- thalest group AG: Standard für nachhaltiges, rentables Investment „Überschwappeffekt“ auf das Umland
- iF DESIGN Ranking: Peter Schmidt Group unter den Top-10-Branding Agenturen weltweit
- Salesupply stellt neuen AI Chatbot vor: Optimierter Online-Kundenservice zu geringeren Kosten
- Willy Brandt ist der bedeutendste Politiker Deutschlands
- Magna Mining meldet Erteilung der Genehmigung zur Wasserentnahme für Crean Hill
Presseverteiler – Kategorien
Presseverteiler – Archiv
News verteilen mit unserem Presseverteiler