Серверы Jenkins могут стать инструментом для проведения DDoS-атак

[Cortez 1,221]

Серверы, работающие на базе платформы для автоматизации задач Jenkins, могут быть использованы для осуществления DDoS-атак. Данная возможность связана с наличием уязвимости CVE-2020-2100 (была исправлена в версии Jenkins 2.219) в кодовой базе Jenkins.

Согласно  предупреждению разработчиков, установки Jenkins поддерживают два протокола сетевого обнаружения - UDP multicast/broadcast и DNS multicast, которые помогают кластерам Jenkins обнаруживать друг друга в сети. Оба эти протокола включены по умолчанию.

Протокол UDP часто используется злоумышленниками для усиления DDoS-атак. Как выяснил специалист Кембриджского университета Адам Торн (Adam Thorn), атакующие могут использовать протокол Jenkins UDP (порт 33848) для тех же целей.

«Единственный байтовый запрос к этому сервису вернет более чем 100 байтов метаданных Jenkins, что может быть использовано в DDoS-атаках на мастер Jenkins», - пояснили разработчики. Они полагают, что серверы Jenkins могут быть использованы в DDoS-атаках для трафика амплификации до 100 раз.

Тем не менее, когда специалисты протестировали атаку, оказалось, что она ненадежна, поскольку серверы выходят из строя.

Еще одна проблема заключается в том, что вышеупомянутая уязвимость позволяет вынудить серверы отправлять друг другу непрерывный поток пакетов и тем самым вызвать сбой в их работе.

Компаниям, использующим серверы Jenkins, рекомендуется обновиться до релиза 2.219 или заблокировать входящий трафик (порт 33848).

Jenkins — написанный на Java открытый инструмент, предназначенный для обеспечения процесса непрерывной интеграции программного обеспечения.