ผู้เชี่ยวชาญเตือนมีเซิร์ฟเวอร์ Jenkins จำนวนมากยังไม่แพตช์ช่องโหว่ร้ายแรง

ผู้เชี่ยวชาญจาก CyberArk ที่ค้นพบช่องโหว่ 2 รายการบน Jenkins ได้เตือนว่ายังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้รับการแพทช์แก้ไขช่องโหว่ของเมื่อหลายเดือนก่อนที่ถูกจัดอยู่ในระดับร้ายแรงซึ่งทำให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องได้แบบเบ็ดเสร็จ

Credit:alexmillos/ShutterStock

ช่องโหว่ 2 รายการมีดังนี้

  •  CVE-2018-1999001 ทำให้แฮ็กเกอร์สามารถล็อกอินด้วย Credentials ที่สร้างขึ้นพิเศษเพื่อใช้ย้ายไฟล์ Config.xml จากไดเรกทอรี่ Home ไปยังที่อื่นได้ ซึ่งความรุนแรงคือถ้า Jenkins เริ่มต้นทำงานแล้วหาไฟล์นี้ไม่เจอก็จะทำให้แฮ็กเกอร์ได้รับสิทธิ์การเข้าถึงของผู้ดูแลไป
  • CVE-2018-1999043 เป็นช่องโหว่ที่ทำให้แฮ็กเกอร์สามารถสร้างบันทึกผู้ใช้งานชั่วคราวขึ้นในหน่วยความจำเพื่อพิสูจน์ตัวตนเข้าใช้งานได้ระยะเวลาสั้นๆ

ปัญหาคือแม้แพตช์ของทั้งสองช่องโหว่ได้ถูกปล่อยออกมาแล้วในเดือนกรกฎาคมและสิงหาคมตามลำดับแต่นักวิจัยพบว่าเมื่อใช้แพลตฟอร์มการค้นหา Shodan มีเซิร์ฟเวอร์ Jenkins กว่า 78,000 เครื่องที่ออนไลน์อยู่ โดยเมื่อทีมงานของ Zdnet ลองค้นหาเจาะลึกไปด้วยการเลือกเฉพาะ Jenkins รุ่นที่มีช่องโหว่ 10 รุ่นก็พบผลลัพธ์กว่า 2,000 เครื่องและเชื่อว่านี่เป็นเพียงส่วนเดียวเท่านั้น ดังนั้นจึงอยากแนะนำให้ผู้เกี่ยวข้องตรวจสอบแพตช์ของตนว่าอัปเดตกันหรือยัง

ที่มา : https://www.zdnet.com/article/thousands-of-jenkins-servers-will-let-anonymous-users-become-admins/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware Cloud Disaster Recovery (VCDR): ทางเลือกในการวางระบบ DR ที่รวดเร็วและง่ายดาย พร้อมให้บริการแล้วโดย Yip In Tsoi

เพื่อช่วยให้ธุรกิจไทยสามารถออกแบบ วางระบบ และใช้งานระบบ Disaster Recovery หรือ DR ได้อย่างมีประสิทธิภาพและง่ายดาย VMware และ Yip In Tsoi จึงร่วมมือกันเพื่อนำเสนอโซลูชัน VMware Cloud Disaster Recovery ซึ่งเป็นบริการ Cloud DR ในแบบ SaaS ที่ใช้งานได้ง่าย คิดค่าใช้จ่ายตามการใช้งานจริง และรองรับระบบได้ทุกขนาด ทำให้ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือองค์กรขนาดใหญ่ที่ใช้งาน VMware อยู่ก็สามารถทำ DR ได้อย่างง่ายดายในเวลาอันรวดเร็ว

[Guest Post] IBM Security Solution ที่สุดของความปลอดภัยสำหรับ Cloud Native technology: IBM POWER10, IBM Storage, IBM QRadar

IBM Security Solution ที่สุดของความปลอดภัยสำหรับ Cloud Native technology: IBM POWER10, IBM Storage, IBM QRadar