In 18 maanden tijd heeft Viktor Gazdag, beveiligingsconsultant bij de NCC Group, kwetsbaarheden gevonden in meer dan 100 verschillende Jenkins-plugins. Gazdag heeft de ontwikkelaars op de hoogte gesteld, maar veel van de Jenkins-plugins hebben nog geen update gekregen om de kwetsbaarheden te verhelpen (1, 2, 3, 4, 5, 6, 7, 8, 9, 10).
Jenkins is een tool om eenvoudig software te ontwikkelen, testen en implementeren. Het is een open-source-automatiseringsserver geprogrammeerd in Java en stelt ontwikkelingsteams in staat om geautomatiseerde tests te draaien en het uitvoeren van diverse operaties op basis van de testresultaten. Hierdoor is Jenkins erg populair in de enterprise-sector, mede omdat het gratis is. Er is een ruime ondersteuning aan plug-ins. Plug-ins zijn verkrijgbaar voor bijvoorbeeld; database-integratie, cloud-integratie, Github en nog veel meer. Er is een goed ecosysteem van open-source plug-ins, die weer gratis verkrijgbaar zijn.
Hier ligt echter ook het probleem. Omdat het open-source is, kunnen ontwikkelaars niet voor onbepaalde tijd ondersteuning bieden, en sommige plugins worden helemaal niet meer ondersteund. Gazdag waarschuwt gebruikers van Jenkins-systemen dat een deel van deze 'verlaten' plugins gevaarlijk kunnen zijn voor enterprise-systemen, vanwege de niet-opgeloste kwetsbaarheden. Sommige zouden zelfs als 'erg gevaarlijk' bestempeld worden.
De meest voorkomende fout die Gazdag gevonden heeft is dat veel plugins wachtwoorden als cleartext opslaat in hun configuratiebestanden, in plaats van in het standaard gebruikte credentials.xml-bestand, waarin alle data automatisch versleuteld wordt. Gazdag vond ook fouten in CSRF (Cross-Site Request Forgery), waardoor kwaadwillenden de 'connection test' van de plugin kunnen misbruiken om credentials naar de server van de aanvaller te sturen. Ook SSRF-fouten werden gevonden (Server-Side Request Forgery) waardoor interne netwerken in kaart kunnen worden gebracht, waarbij er inloggegevens met brute-force achterhaald kunnen worden.
Bron: Zdnet
