Pesquisadores de segurança cibernética descobriram que é possível que invasores usem instâncias do Jenkins Script Console configuradas incorretamente para promover atividades criminosas, como mineração de criptomoedas.
“Configurações incorretas, como mecanismos de autenticação configurados incorretamente, expõem o endpoint '/script' a invasores”, disseram Shubham Singh e Sunil Bharti, da Development Micro, em um artigo técnico publicado na semana passada. “Isso pode levar à execução remota de código (RCE) e ao uso indevido por agentes maliciosos.”
Jenkins, uma plataforma in style de integração e entrega contínua (CI/CD), apresenta um console de script Groovy que permite aos usuários executar scripts Groovy arbitrários dentro do tempo de execução do controlador Jenkins.
Os mantenedores do projeto, na documentação oficial, observam explicitamente que o shell Groovy baseado na internet pode ser usado para ler arquivos contendo dados confidenciais (por exemplo, “/and so on/passwd”), descriptografar credenciais configuradas no Jenkins e até mesmo reconfigurar as configurações de segurança.
O console “não oferece controles administrativos para impedir que um usuário (ou administrador) quando ele for capaz de executar o Script Console afete todas as partes da infraestrutura do Jenkins”, diz a documentação. “Conceder acesso ao Script Console a um usuário regular do Jenkins é essencialmente o mesmo que dar a ele direitos de administrador dentro do Jenkins.”
Embora o acesso ao Script Console seja normalmente limitado apenas a usuários autenticados com permissões administrativas, instâncias do Jenkins mal configuradas podem inadvertidamente tornar o ponto de extremidade “/script” (ou “/scriptText”) acessível pela Web, tornando-o vulnerável à exploração por invasores que buscam executar comandos perigosos.
A Development Micro disse que encontrou instâncias de agentes de ameaças explorando a configuração incorreta do plugin Jenkins Groovy para executar uma string codificada em Base64 contendo um script malicioso projetado para minerar criptomoedas no servidor comprometido, implantando uma carga útil de minerador hospedada no berrystore(.)me e configurando a persistência.
“O script garante que ele tenha recursos de sistema suficientes para executar a mineração efetivamente”, disseram os pesquisadores. “Para fazer isso, o script verifica os processos que consomem mais de 90% dos recursos da CPU e, em seguida, procede para matar esses processos. Além disso, ele encerrará todos os processos parados.”
Para se proteger contra tais tentativas de exploração, é aconselhável garantir uma configuração adequada, implementar autenticação e autorização robustas, realizar auditorias regulares e restringir a exposição pública dos servidores Jenkins na Web.
O desenvolvimento ocorre em um momento em que os roubos de criptomoedas decorrentes de hacks e explorações aumentaram no primeiro semestre de 2024, permitindo que os agentes de ameaças saqueassem US$ 1,38 bilhão, ante US$ 657 milhões no ano anterior.
“Os cinco principais hacks e exploits foram responsáveis por 70% do valor whole roubado até agora neste ano”, disse a plataforma de inteligência de blockchain TRM Labs. “Comprometimentos de chave privada e frase semente continuam sendo um dos principais vetores de ataque em 2024, juntamente com exploits de contrato inteligente e ataques de empréstimo rápido.”
