พบช่องโหว่ DDoS กับเซิร์ฟเวอร์ Jenkins แนะผู้ใช้เร่งอัปเดต

Adam Thorn นักวิจัยจากมหาวิทยาลัย Cambridge ได้พบช่องโหว่ที่สามารถทำ Amplify DDoS Attack กับเซิร์ฟเวอร์ Jenkins ได้

ไอเดียก็คือปกติแล้วเซิร์ฟเวอร์ Jenkins จะรองรับ Network Discovery Protocol ได้ 2 ตัวคือ UDP Multicast/Broadcast และ DNS Multicast ได้โดย Default เพื่อให้เซิร์ฟเวอร์สามารถมองเห็นกันและทำงานเป็น Cluster ได้ ด้วยเหตุนี้เองนักวิจัยจึงได้ค้นพบช่องโหว่ CVE-2020-2100 หรือการส่ง UDP ไปที่พอร์ต 33848 โดยทีมงาน Jenkins กล่าวว่า “เพียงแค่ส่งการ Request ไบต์เดียวไปที่บริการนี้ก็จะได้รับการตอบกลับขนาดมากกว่า 100 ไบต์กลับมาที่นำไปสู่การโจมตี Jenkins Master ได้“

สำหรับในด้านของการป้องกันปัจจุบันทีมงาน Jenkins ได้แพตช์แก้ไขแล้วในเวอร์ชัน 2.219 และ 2.204.2 LTS ด้วยการปิด UDP Multicast/Broadcast และ DNS Multicast เป็นค่า Default แต่หากผู้ดูแลต้องการใช้จริงๆ ก็สามารถทำตามคำแนะนำได้ที่นี่ หรือจะใช้ Firewall ช่วยป้องกันที่พอร์ต UDP 33848 ก็ได้ อย่างไรก็ตามช่องโหว่นี้ยังมีผลกระทบที่ทำให้เซิร์ฟเวอร์ Jenkins ส่งแพ็กเก็ตวนลูปไม่มีวันจบจนกระทั่งเครื่องค้างไปเลยได้

มีข้อมูลจากทาง Radware ที่ได้ลองค้นหาเซิร์ฟเวอร์ Jenkins ที่อยู่บนอินเทอร์เน็ตพบว่ามีเซิร์ฟเวอร์มากกว่า 12,000 ตัวกระจายอยู่ทั้งในเอเชีย ยุโรปและอเมริกาเหนือ ดังนั้นผู้ใช้งานที่เกี่ยวข้องก็ควรเร่งอัปเดตนะครับ

ที่มา :  https://www.helpnetsecurity.com/2020/02/11/cve-2020-2100/ และ https://www.zdnet.com/article/jenkins-servers-can-be-abused-for-ddos-attacks/