StartseiteIT und SoftwareJenkins Server von internen Endlosschleifen bedroht

Jenkins Server von internen Endlosschleifen bedroht: OnPrNews.com

Das Threat Research Team von Radware warnt Betreiber von Jenkins-Servern vor einer akuten Bedrohung im Zusammenhang mit dem vom Jenkins Project veröffentlichten Security Advisory 1641, auch als CVE-2020-2100 bekannt. Nach Erkenntnissen von Radware sind 12.000 solcher Server anfällig für Distributed Reflective Denial of Service (DrDOS) Attacken mit einem Verstärkungsfaktor von durchschnittlich 6,44. Knapp 1.700 oder 14 % dieser Server stehen in Deutschland. Akute Gefahr droht vor allem den Betreibern von Jenkins Servern selbst, da ein Hacker mit nur einem gespooften UDP-Paket eine Endlosschleife aus Anfragen und Antworten zwischen mehreren Jenkins Servern initiieren kann, die erst beendet wird, wenn auch die jeweiligen Services beendet werden.

„Viele DevOps-Teams verlassen sich auf Jenkins, um ihre Anwendungen zu entwickeln, zu testen und kontinuierlich in Cloud- und Shared Hosting-Umgebungen wie Amazon, OVH, Hetzner, Host Europe, DigitalOcean, Linode und vielen anderen zu implementieren“ so Pascal Geenens, Cyber Security Evangelist bei Radware. „Ähnlich wie bei Memcrashed gehen die Leute, die im Rahmen des Open-Source-Projekts Jenkin entwickeln, davon aus, dass diese Server nur intern zur Verfügung stehen werden. In Wirklichkeit funktionieren diese Annahmen jedoch nicht gut, und viele Jenkins-Server sind tatsächlich öffentlich zugänglich.“

Reflective DoS

Jenkins unterstützt standardmäßig zwei Netzwerkerkennungsdienste: UDP-Multicast/Broadcast und DNS-Multicast. Die Schwachstelle ermöglicht es Angreifern, Jenkins-Server zu missbrauchen, indem sie UDP-Anforderungen von Port UDP/33848 aus reflektieren, was zu einem verstärkten DDoS-Angriff mit Jenkins-Metadaten führt. Dies ist möglich, weil Jenkins/Hudson-Server den Netzwerkverkehr nicht ordnungsgemäß überwachen und offen gelassen werden, um andere Jenkins/Hudson-Instanzen zu entdecken. Jenkins/Hudson hört jeden Datenverkehr auf dem UDP-Port 33848 ab und reagiert darauf. Ein Angreifer kann entweder lokal ein UDP-Broadcast-Paket an 255.255.255.255.255:33848 senden oder er kann ein UDP-Multicast-Paket an JENKINS_REFLECTOR:33848 einsetzen. Wenn ein Paket empfangen wird, sendet Jenkins oder sein Vorgänger Hudson unabhängig von der Nutzlast eine XML-Antwort mit Metadaten in einem Datagramm an den anfordernden Client. Durch die Erstellung von UDP-Paketen mit der IP eines Opfers als Quelle und der IP eines exponierten Jenkins-Servers und Port udp/33848 als Ziel kann ein böswilliger Akteur eine reflektierende Flut von Paketen zwischen dem Jenkins-Server und dem Opfer erzeugen. Der Verstärkungsfaktor variiert zwischen den Jenkins-Servern, beträgt aber im Durchschnitt 6,44.

Endlosschleife zwischen Jenkins-Servern

Sorgfältig gestaltete UDP-Pakete können auch zwei Jenkins-Server in eine Endlosschleife von Antworten bringen, wodurch ein Denial-of-Service gegen beide Server verursacht wird. Dies ist möglich, weil der Jenkins-Discovery-Service auf jede Anfrage reagiert, unabhängig von deren Inhalt. Ein UDP-Paket, das als Quelle die IP eines exponierten Servers und als Ziel die IP eines anderen exponierten Jenkins-Servers verwendet, wobei sowohl Quelle als auch Ziel auf den Port udp/33848 des Jenkins-Discovery Service gesetzt sind, gehen beide Jenkins-Server in eine unendliche Antwortschleife. Ein böswilliger Akteur wäre laut Radware zudem in der Lage, mehrere unendliche Antwortschleifen zwischen beliebigen exponierten Jenkins-Servern im Internet zu erstellen, wodurch schließlich ein vollständig vermaschter, unendlicher Strom von Paketen zwischen den exponierten Internet-Hosts entsteht.

Wenn der Port udp/33848 im Internet offengelegt wird, wird er zu einer öffentlichen Bedrohung und kann für DrDoS mit Verstärkung missbraucht oder dazu genutzt werden, die Jenkins-Cluster mehrerer Organisationen auszuschalten. Die Schwachstelle wurde in Jenkins 2.219 und LTS 2.204.2 behoben, indem sowohl UDP-Multicast/Broadcast als auch DNS-Multicast standardmäßig deaktiviert wurden.

Radware® (NASDAQ: RDWR) ist ein weltweit führender Lösungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit für virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekrönte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verfügbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-Lösungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivität bei geringen Kosten.

Weitere Informationen finden Sie unter www.radware.com

Firmenkontakt
Radware GmbH
Michael Tullius
Robert-Bosch-Str. 11a
63225 Langen / Frankfurt am Main
+49-6103-70657-0
info_de@radware.com
https://www.radware.com

Pressekontakt
Prolog Communications GmbH
Achim Heinze
Sendlinger Str. 24
80331 München
089 800 77-0
radware@prolog-pr.com
https://www.prolog-pr.com/radware

Bildquelle: Radware GmbH

Lesen Sie mehr zum Thema

Disclaimer/ Haftungsausschluss: Für den oben stehend Pressemitteilung inkl. dazugehörigen Bilder / Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter Onprnews.com distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.

- Artikel teilen -

Erkunden Sie ähnliche Artikel wie Jenkins Server von internen Endlosschleifen bedroht

Von der Idee zur Realität: Wie 3D-Visualisierungen die Architektur revolutionieren

3D-Visualisierungen haben die Art und Weise, wie Bauprojekte konzipiert und präsentiert werden, revolutioniert. Sie bieten nicht nur einen umfassenden Einblick in die geplanten Gebäude, sondern helfen auch dabei, Entscheidungen fundiert zu treffen. Durch diese Technologie wird die Vision des Architekten greifbarer und verständlicher.

Warum Storytelling der Schlüssel zu langfristigen Kundenbeziehungen ist

Die Schaffung einer emotionalen Bindung zu Ihren Kunden kann den Unterschied zwischen einmaligen Käufern und treuen Anhängern Ihrer Marke ausmachen. In diesem Artikel erfahren Sie, wie Sie durch effektives Storytelling nachhaltige Kundenbindungen aufbauen können.

Pressearbeit neu definiert: Weltweit erster KI-basierter Presseverteiler gestartet

Der weltweit erste KI-basierte Presse- und Content-Verteiler von PRnews24 und CarPR ist ab dem 14. August 2024 offiziell verfügbar. Dieses innovative Tool nutzt künstliche Intelligenz, um redaktionelle Inhalte gezielt und effizient zu verbreiten und sorgt somit für eine bahnbrechende Verbesserung der Indexierung und Sichtbarkeit in Suchmaschinen.

Webspace-Verkauf.de führt umfassenden Relaunch der Website durch

Der Internet Service Provider Webspace-Verkauf.de hat seine Website komplett überarbeitet. Mit modernem Design und erweiterten Funktionen setzt das Unternehmen neue Maßstäbe im Hosting-Bereich.

Optimierte Klimatisierung von Rechenzentren

Merkle CAE Solutions: effiziente Kühlungsstrategien für Server-Räume auf Basis von CFD-Simulationen Die...

Die Einführung der eAU ist erfolgreich angelaufen

Die neue AVERO® Version 13.0 ist noch anwenderfreundlicher Seit dem 1. Januar...

In der Nacht bleibt der Server aus

Das Kölner Softwarehaus ownSoft bietet seinen Kunden den Umzug auf "grünen"...