开源服务器 Jenkins 曝漏洞，可用于发动 DDoS 攻击

vlambda
2020-02-15

开源服务器 Jenkins 曝漏洞，可用于发动 DDoS 攻击

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

用于执行自动化任务的开源服务器 Jenkins 可被滥用于发动分布式拒绝服务 (DDoS)攻击。

Jenkins代码库中存在一个漏洞 (CVE-2020-2100)，可被滥用于发动 DDoS攻击，不过已在上个月发布的 Jenkins v2.219 中修复。

Jenkins安全公告指出，Jenkins安装程序支持两个网络发现协议，即 UDP 多播/广播协议和第二个 DNS 多播协议。这两个协议默认启用，它们的作用是供 Jenkins 互相检测并以集群形式运作。

众所周知，UDP 协议可导致攻击者放大 DDoS 攻击的流量部分，之后用于攻击既定目标。去年，来自剑桥大学的 Adam Thom 发现攻击者可以使用 Jenkins UDP 发现协议（活跃于 UDP 端口33848）执行同样的操作，并滥用它放大和反弹 DDoS攻击的流量部分。

Jenkins团队表示，“该服务的单字节请求会以超过100字节的 Jenkins 元数据进行响应，而这些元数据可被滥用于 Jenkins 主服务器上的 DDoS 攻击活动中，从而将针对攻击目标的初始流量放大到最高100倍。 ”该放大因子为100倍，高于平均水平，接近危险程度。然而，DDoS缓解社区有人表示曾在上周测试该攻击向量。结果显示尽管放大因子虽然很大，但攻击并不可靠，因为（遭互联网暴露的）Jenkins 服务器被这种方式滥用时会崩溃。

不过，更大的问题在于该漏洞还具有的一种作用是，Jenkins 服务器可被诱骗发送连续数据包，从而使互联网上的 Jenkins 服务器进入无限循环并最终崩溃。

如Jenkins 服务器被暴露到互联网，则建议企业更新至2.219版本或者至少拦截端口33848的任何入站流量。

vlambda博客
学习文章列表