1月24日持续整合开发工具Jenkins的开发团队漏洞有可能被用于多种类型的攻击行为,甚至能破坏Jenkins的内容
此漏洞发生的原因,是该系统在处理CLI命令的过程中,采用名为args4j的程式库解析Jenkins控制器的功能函数及选项,该程式库提供以@字元来读取指定档案的路径,此功能在Jenkins预设为启用,攻击者有机会利用这项特性在Jenkins控制器的档案系统上读取任意档案,即使没有取得相关权限,也能够读取档案部分内容。 开发团队指出,这项弱点还有可能被用于进行其他攻击,像是透过「记得我」的cookie、跨网站指令码(XSS)攻击、绕过跨网站伪造请求(CSRF)防护机制等方式,进行远端执行任意程式码(RCE)攻击,或者,攻击者能够删除Jenkins任意项目,或是解密存放的帐密资料。 由于这项重大层级的漏洞可被用于攻击的范围甚广,骇客在漏洞被公开后的动态引起研究人员关注。1月26日究竟有多少Jenkins伺服器尚未修补?次日资安业者SORadar根据物联网搜寻引擎Shodan分析的结果,
公布后2天出现概念性验证程式码、尝试利用攻击行动