Investigadores de ciberseguridad han descubierto que es posible que los atacantes utilicen instancias de la Consola de Scripts de Jenkins mal configuradas para llevar a cabo actividades delictivas, como la minería de criptomonedas.
«Las configuraciones incorrectas, como los mecanismos de autenticación mal configurados, exponen el endpoint ‘/script’ a los atacantes,» dijeron Shubham Singh y Sunil Bharti de Trend Micro en un informe técnico publicado la semana pasada. «Esto puede llevar a la ejecución remota de código (RCE) y al mal uso por parte de actores maliciosos.»
Jenkins, una popular plataforma de integración y entrega continua (CI/CD), cuenta con una consola de scripts Groovy que permite a los usuarios ejecutar scripts Groovy arbitrarios dentro del entorno de ejecución del controlador Jenkins.
Los mantenedores del proyecto, en la documentación oficial, explican explícitamente que la shell Groovy basada en la web se puede usar para leer archivos que contienen datos sensibles (por ejemplo, «/etc/passwd»), descifrar credenciales configuradas dentro de Jenkins e incluso reconfigurar los ajustes de seguridad.
La consola «no ofrece controles administrativos para evitar que un usuario (o administrador) una vez que pueda ejecutar la Consola de Scripts afecte todas las partes de la infraestructura de Jenkins,» según la documentación. «Conceder acceso a la Consola de Scripts a un usuario normal de Jenkins es esencialmente lo mismo que darle derechos de Administrador dentro de Jenkins.»
Aunque el acceso a la Consola de Scripts generalmente está limitado solo a usuarios autenticados con permisos administrativos, las instancias mal configuradas de Jenkins podrían hacer que el endpoint «/script» (o «/scriptText») sea accesible por internet, haciéndolo propenso a ser explotado por atacantes que buscan ejecutar comandos peligrosos.
Trend Micro indicó que encontró casos de actores de amenazas explotando la mala configuración del plugin Groovy de Jenkins para ejecutar una cadena codificada en Base64 que contiene un script malicioso diseñado para minar criptomonedas en el servidor comprometido, desplegando una carga útil de minero alojada en berrystore[.]me y configurando persistencia.
«El script asegura que tiene suficientes recursos del sistema para realizar la minería de manera efectiva,» dijeron los investigadores. «Para hacer esto, el script verifica los procesos que consumen más del 90% de los recursos de la CPU y procede a terminar estos procesos. Además, finalizará todos los procesos detenidos.»
Para protegerse contra estos intentos de explotación, se recomienda asegurar una configuración adecuada, implementar autenticación y autorización robustas, realizar auditorías regulares y restringir que los servidores de Jenkins sean expuestos públicamente en internet.
El desarrollo se produce mientras los robos de criptomonedas derivados de hacks y explotaciones han aumentado en la primera mitad de 2024, permitiendo a los actores de amenazas robar $1.38 mil millones, frente a los $657 millones del año anterior.
«Los cinco principales hacks y explotaciones representaron el 70% del total robado hasta ahora este año,» dijo la plataforma de inteligencia blockchain TRM Labs. «Las vulneraciones de claves privadas y frases de recuperación siguen siendo un vector de ataque principal en 2024, junto con las explotaciones de contratos inteligentes y los ataques de préstamos rápidos.»
——————————————————————-
Cybersecurity researchers have found that attackers can weaponize improperly configured Jenkins Script Console instances to conduct criminal activities such as cryptocurrency mining.
«Misconfigurations such as improperly set up authentication mechanisms expose the ‘/script’ endpoint to attackers,» said Trend Micro’s Shubham Singh and Sunil Bharti in a technical write-up published last week. «This can lead to remote code execution (RCE) and misuse by malicious actors.»
Jenkins, a popular continuous integration and continuous delivery (CI/CD) platform, features a Groovy script console that allows users to run arbitrary Groovy scripts within the Jenkins controller runtime.
The project maintainers, in the official documentation, explicitly note that the web-based Groovy shell can be used to read files containing sensitive data (e.g., «/etc/passwd»), decrypt credentials configured within Jenkins, and even reconfigure security settings.
The console «offers no administrative controls to stop a user (or admin) once they are able to execute the Script Console from affecting all parts of the Jenkins infrastructure,» reads the documentation. «Granting a normal Jenkins user Script Console Access is essentially the same as giving them Administrator rights within Jenkins.»
While access to Script Console is typically limited only to authenticated users with administrative permissions, misconfigured Jenkins instances could inadvertently make the «/script» (or «/scriptText») endpoint accessible over the internet, making it ripe for exploitation by attackers looking to run dangerous commands.
Trend Micro said it found instances of threat actors exploiting the Jenkins Groovy plugin misconfiguration to execute a Base64-encoded string containing a malicious script designed to mine cryptocurrency on the compromised server by deploying a miner payload hosted on berrystore[.]me and setting up persistence.
«The script ensures it has enough system resources to perform the mining effectively,» the researchers said. «To do this, the script checks for processes that consume more than 90% of the CPU’s resources, then proceeds to kill these processes. Furthermore, it will terminate all stopped processes.»
To safeguard against such exploitation attempts, it’s advised to ensure proper configuration, implement robust authentication and authorization, conduct regular audits, and restrict Jenkins servers from being publicly exposed on the internet.
The development comes as cryptocurrency thefts arising from hacks and exploits have surged in the first half of 2024, allowing threat actors to plunder $1.38 billion, up from $657 million year-over-year.
«The top five hacks and exploits accounted for 70% of the total amount stolen so far this year,» blockchain intelligence platform TRM Labs said. «Private key and seed phrase compromises remain a top attack vector in 2024, alongside smart contract exploits and flash loan attacks.»
El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
