Hackers están explotando Jenkins Script Console para ataques de minería de criptomonedas

0

Hackers están aprovechando instancias mal configuradas de Jenkins Script Console para minar criptomonedas

Una vulnerabilidad crítica en el servidor Jenkins podría permitir filtración de información confidencial

Los investigadores en ciberseguridad han revelado que los atacantes pueden aprovechar instancias mal configuradas de la Consola de Scripts de Jenkins para llevar a cabo actividades delictivas como la minería de criptomonedas.

«Las malas configuraciones, como los mecanismos de autenticación configurados incorrectamente, exponen el punto final ‘/script’ a los atacantes. Esto puede resultar en la ejecución remota de código (RCE) y en el uso indebido por parte de actores maliciosos», explicaron Shubham Singh y Sunil Bharti de Trend Micro en un informe técnico publicado la semana pasada.

Jenkins, una plataforma popular de integración continua y entrega continua (CI/CD), cuenta con una consola de scripts Groovy que permite a los usuarios ejecutar scripts Groovy arbitrarios dentro del entorno de ejecución del controlador de Jenkins.

Los encargados del proyecto, en la documentación oficial, destacan que la shell Groovy basada en la web puede usarse para leer archivos que contienen datos sensibles (por ejemplo, «/etc/passwd»), descifrar credenciales configuradas en Jenkins e incluso reconfigurar configuraciones de seguridad.

La consola «no ofrece controles administrativos para evitar que un usuario (o administrador) pueda afectar todas las partes de la infraestructura de Jenkins una vez que puede ejecutar la Consola de Scripts,» señala la documentación. «Conceder acceso a la Consola de Scripts a un usuario normal de Jenkins es esencialmente lo mismo que otorgarle derechos de Administrador dentro de Jenkins.»

Aunque el acceso a la Consola de Scripts generalmente está limitado a usuarios autenticados con permisos administrativos, las instancias de Jenkins mal configuradas podrían hacer que el punto final «/script» (o «/scriptText») sea accesible en internet, lo que lo hace susceptible de ser explotado por atacantes que buscan ejecutar comandos peligrosos.

Trend Micro reportó que detectó casos en los que actores maliciosos explotaban la mala configuración del plugin Groovy de Jenkins para ejecutar una cadena codificada en Base64 que contiene un script malicioso diseñado para minar criptomonedas en el servidor comprometido, desplegando un minero alojado en berrystore[.]me y estableciendo persistencia.

«El script se asegura de que tiene suficientes recursos del sistema para realizar la minería de manera efectiva. Para lograr esto, el script verifica los procesos que consumen más del 90% de los recursos de la CPU y procede a finalizar estos procesos. Además, terminará todos los procesos detenidos», señalaron los investigadores.

Para protegerse contra estos intentos de explotación, se recomienda asegurar una configuración adecuada, implementar autenticación y autorización sólidas, realizar auditorías regulares y restringir la exposición pública de los servidores Jenkins en internet.

Este descubrimiento se produce en un contexto de aumento de robos de criptomonedas resultantes de hacks y explotaciones en la primera mitad de 2024, lo que ha permitido a los actores maliciosos robar $1.38 mil millones, frente a los $657 millones del año anterior.

«Los cinco principales hacks y explotaciones representaron el 70% del monto total robado hasta ahora este año. Las violaciones de claves privadas y frases de recuperación siguen siendo un vector de ataque principal en 2024, junto con explotaciones de contratos inteligentes y ataques de préstamos rápidos», señaló la plataforma de inteligencia blockchain TRM Labs.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *