젠킨스 서버는 오픈소스 자동화 서버이며, CloudBees와 젠킨스 커뮤니티를 통해 관리됩니다.
개발자들에게 애플리케이션 빌드, 테스트, 배포를 지원하며, 전 세계 133,000개 이상의 서버와, 많은 유저들을 보유하고 있습니다.
<이미지 출처 : http://securityaffairs.co/wordpress/69232/malware/jenkinsminer-targets-jenkins-servers.html>
해당 취약점은, 직렬화된 개체의 유효성을 검증하지 않기 때문에 발생하며, 취약점을 이용하여 젠킨스 서버가 채굴기(JenkinsMiner)를 다운로드 및 설치하는 것을 허용 하였습니다.
해당 공격은 RAT와 XMRig 채굴 기능을 하이브리드화를 통한 공격하는 방식으로, 피해자는 대부분 개인사용자인것으로 보인다는 블로그 내용입니다.
<이미지 출처 : http://securityaffairs.co/wordpress/69232/malware/jenkinsminer-targets-jenkins-servers.html>
JenkinsMiner가 다운로드 된 PC는 대부분 중국의 IP로 나타났으며, Huaian 정부정보센터가 사용하는 주소에 할당 되어 있습니다.
서버가 해킹 당했는지, 주정부가 후원하는 해커가 사용했는지 사용한것인지 알수없다고 합니다.
Tunc는 젠킨스가 코드 저장소에 대한 인증정보를 요구, 코드를 배포할 환경(GitHub, AWS, Azure)에 엑세스 한다고 강조하였습니다.
다수의 잘못 구성된 시스템이 계정을 등록하지 않은 사용자들에게도 기본적으로 게스트나 관리자 권한을 제공한다는 사실을 발견하였으며, 이같이 애플리케이션을 올바르게 구성하지 않으면 데이터가 유출될 수 있다고 합니다.
본문 참고 : Securityaffairs
http://securityaffairs.co/wordpress/69232/malware/jenkinsminer-targets-jenkins-servers.html
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
영향을 받는 제품은 Jenkins 2.56이하 버전과 Jenkins LTS 2.46.1 이하 버전
영향 받는 소프트웨어를 사용하는 관리자는 Jenkins 2.57이상 버전과 Jenkins LSTS 2.46.2 이상 버전일 경우 업데이트 적용을 권고함
젠킨스 최신버전 다운로드 : https://jenkins.io/download/
- 우분투 환경 -
기본 폴더 : /usr/share/jenkins
기본폴더에 설치된 경우, 위 폴더의 기존 파일을 최신 war파일과 교체하면 됩니다.
apache2 demon을 stop 후, jenkins를 restart 한뒤, apache2를 start
$ sudo /etc/init.d/jenkins restart
jenkins 접속후 버전을 확인