ผู้เชี่ยวชาญเตือนมีเซิร์ฟเวอร์ Jenkins จำนวนมากยังไม่แพตช์ช่องโหว่ร้ายแรง

ผู้เชี่ยวชาญจาก CyberArk ที่ค้นพบช่องโหว่ 2 รายการบน Jenkins ได้เตือนว่ายังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้รับการแพทช์แก้ไขช่องโหว่ของเมื่อหลายเดือนก่อนที่ถูกจัดอยู่ในระดับร้ายแรงซึ่งทำให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องได้แบบเบ็ดเสร็จ

ช่องโหว่ 2 รายการมีดังนี้

•  CVE-2018-1999001 ทำให้แฮ็กเกอร์สามารถล็อกอินด้วย Credentials ที่สร้างขึ้นพิเศษเพื่อใช้ย้ายไฟล์ Config.xml จากไดเรกทอรี่ Home ไปยังที่อื่นได้ ซึ่งความรุนแรงคือถ้า Jenkins เริ่มต้นทำงานแล้วหาไฟล์นี้ไม่เจอก็จะทำให้แฮ็กเกอร์ได้รับสิทธิ์การเข้าถึงของผู้ดูแลไป
• CVE-2018-1999043 เป็นช่องโหว่ที่ทำให้แฮ็กเกอร์สามารถสร้างบันทึกผู้ใช้งานชั่วคราวขึ้นในหน่วยความจำเพื่อพิสูจน์ตัวตนเข้าใช้งานได้ระยะเวลาสั้นๆ

ปัญหาคือแม้แพตช์ของทั้งสองช่องโหว่ได้ถูกปล่อยออกมาแล้วในเดือนกรกฎาคมและสิงหาคมตามลำดับแต่นักวิจัยพบว่าเมื่อใช้แพลตฟอร์มการค้นหา Shodan มีเซิร์ฟเวอร์ Jenkins กว่า 78,000 เครื่องที่ออนไลน์อยู่ โดยเมื่อทีมงานของ Zdnet ลองค้นหาเจาะลึกไปด้วยการเลือกเฉพาะ Jenkins รุ่นที่มีช่องโหว่ 10 รุ่นก็พบผลลัพธ์กว่า 2,000 เครื่องและเชื่อว่านี่เป็นเพียงส่วนเดียวเท่านั้น ดังนั้นจึงอยากแนะนำให้ผู้เกี่ยวข้องตรวจสอบแพตช์ของตนว่าอัปเดตกันหรือยัง

ที่มา : https://www.zdnet.com/article/thousands-of-jenkins-servers-will-let-anonymous-users-become-admins/