聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

用于执行自动化任务的开源服务器 Jenkins 可被滥用于发动分布式拒绝服务 (DDoS)攻击。

Jenkins代码库中存在一个漏洞 (CVE-2020-2100),可被滥用于发动 DDoS攻击,不过已在上个月发布的 Jenkins v2.219 中修复。

Jenkins安全公告指出,Jenkins安装程序支持两个网络发现协议,即 UDP 多播/广播协议和第二个 DNS 多播协议。这两个协议默认启用,它们的作用是供 Jenkins 互相检测并以集群形式运作。

众所周知,UDP 协议可导致攻击者放大 DDoS 攻击的流量部分,之后用于攻击既定目标。去年,来自剑桥大学的 Adam Thom 发现攻击者可以使用 Jenkins UDP 发现协议(活跃于 UDP 端口33848)执行同样的操作,并滥用它放大和反弹 DDoS攻击的流量部分。

Jenkins团队表示,“该服务的单字节请求会以超过100字节的 Jenkins 元数据进行响应,而这些元数据可被滥用于 Jenkins 主服务器上的 DDoS 攻击活动中,从而将针对攻击目标的初始流量放大到最高100倍。”该放大因子为100倍,高于平均水平,接近危险程度。然而,DDoS缓解社区有人表示曾在上周测试该攻击向量。结果显示尽管放大因子虽然很大,但攻击并不可靠,因为(遭互联网暴露的)Jenkins 服务器被这种方式滥用时会崩溃。

不过,更大的问题在于该漏洞还具有的一种作用是,Jenkins 服务器可被诱骗互相发送连续数据包,从而使互联网上的 Jenkins 服务器进入无限循环并最终崩溃。

如Jenkins 服务器被暴露到互联网,则建议企业更新至2.219版本或者至少拦截端口33848的任何入站流量。

推荐阅读

开源的 Jenkins 服务器配置不当或导致著名机构敏感数据遭泄露

Jenkins开源自动化服务器修复RCE漏洞

原文链接

https://www.zdnet.com/article/jenkins-servers-can-be-abused-for-ddos-attacks/

题图:Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”,bounty 不停~

开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击相关推荐

  1. 这个TsuNAME 新漏洞可对关键 DNS 服务器发动 DDoS 攻击

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 新西兰和荷兰国家域名注册商(.nz 和 .nl)的运营商在 DNS 流量权威服务器中检测到异常情况后,在域名服务器 (DNS) 生态系统中 ...

  2. 如何发动DDoS 攻击

    什么是 DoS 和 DDoS 攻击? 拒绝服务(DDoS)攻击和分布式拒绝服务(DDoS)攻击都是恶意的行为,利用大量互联网流量淹没目标服务器.服务或网络,破坏它们的正常运作. DoS 攻击通过从单一 ...

  3. 恶意软件将路由器捆绑至僵尸网络 黑客可以借此发动DDoS攻击

    成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击,恶意软件将设备捆绑到僵尸网络中,使其具有分布式拒绝服务(DDoS)攻击功能,并以此向黑客出售. Gafgyt恶意软件可以通过小型办公室和家庭路由器 ...

  4. .NET Core 开源库被曝漏洞,可使恶意软件逃避检测,无补丁

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 .NET Core 库中存在一个漏洞,可导致恶意程序躲避安全软件的检测. 该漏洞是由微软 .NET Core 库中的一个路径遍历bug ...

  5. 家庭和办公路由器被劫持以发动 DDoS 攻击

    网络安全专家Incapsula发布的一份最新报告显示,他们已经发现了一个DDoS僵尸网络劫持了成千上万的路由器,并且在去年12月下旬发动了第一波应用层的HTTP 洪水攻击.攻击流量来自全球范围属于16 ...

  6. 赛门铁克调研发现越来越多的物联网设备被用于实施DDoS攻击

    近日,全球网络安全领导厂商赛门铁克公司(纳斯达克:SYMC)公布一项针对物联网安全的调研结果,深入分析网络攻击者如何在网络设备拥有者不知情的情况下,利用物联网安全设备的漏洞传播恶意软件或创建僵尸网络. ...

  7. 家庭和办公路由器被劫持以发动DDoS攻击

    研究发现,攻击大量使用了SOHO路由器,主要是基于ARM的Ubiquiti设备,安全研究者最初假定黑客是通过一个共享的固件漏洞获取这些路由器的控制权,但是,进一步的检查发现,这些控制都是通过HTTP和 ...

  8. 22 行 JS 黑掉英国航空,38 万乘客受害;公有云被频繁用于 DDoS 攻击

    (点击上方蓝字,快速关注我们) 转自:开源中国.solidot.cnBeta.腾讯科技等 0.仅有 22 行的 JS 脚本让 38 万英国航空客户成为受害者 根据RiskIQ的报告,英国航空公司遭遇的 ...

  9. 如何利用TFTP协议发动DDoS放大攻击

    一个来自爱丁堡龙比亚大学的安全研究小组制定出一项新的DDoS放大技术方案,且主要依靠TFTP协议实现. 来 自爱丁堡龙比亚大学的一个安全专家小组(成员分别为Boris Sieklik.Richard ...

最新文章

  1. 使用etcd+confd管理nginx配置
  2. DATETIME类型和BIGINT 类型互相转换
  3. 【2】HashMap
  4. VTK修炼之道53:图形基本操作进阶_多分辨率策略(模型细化的三种方法)
  5. 王者荣耀8月15日服务器维护,王者荣耀8月15日更新维护到什么时候 王者荣耀8月15日更新时间分享...
  6. html 文本第一行显示,html – 在第一行后更改文本对齐
  7. bash 字符串处理(转)
  8. xmlhttp上传文件(转贴)
  9. 不需编译让aspx页自主筛选数据绑定记录
  10. Winform 按钮权限拦截AOP
  11. 常见搜索引擎蜘蛛大全
  12. 加速计/陀螺仪/磁力计是什么,3轴/6轴/9轴传感器又是什么?
  13. Regular进阶: 几点性能优化的建议
  14. memcached随笔练习
  15. Xposed 傻瓜式 安装
  16. 弗洛伊德(floyd)算法核心代码
  17. The Sandbox 的 OliveX Fitness 之城来啦!
  18. 如何将JSONArray转为String数组
  19. 使用Graphviz下的dot工具绘制图像
  20. Quaternion kinematics for the error-state Kalman filter论文阅读

热门文章

  1. RegistryHelper-注册表辅助类
  2. 全栈开发工程师微信小程序-上(中)
  3. java简单算法总结
  4. 008_MAC 终端使用技巧
  5. Ubuntu 10.04下更行新内核
  6. vs生成命令和属性的宏
  7. 华为交换机STP的配置实例
  8. 安装过程中检测数据库是否已经存在
  9. c++ float转double_萌新求教//c语言float和double哪个算得快?
  10. Android开发学习之Xml解析归纳