Ataques de Minería de Criptomonedas a través de Jenkins Script Console

Iniciado por Dragora, Julio 09, 2024, 11:06:49 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Los investigadores de ciberseguridad han descubierto que los atacantes pueden utilizar instancias de Jenkins Script Console mal configuradas para promover actividades delictivas como la minería de criptomonedas.

"Las configuraciones incorrectas, como los mecanismos de autenticación mal configurados, exponen el endpoint '/script' a los atacantes", dijeron Shubham Singh y Sunil Bharti de Trend Micro en un artículo técnico. "Esto puede conducir a la ejecución remota de código (RCE) y al uso indebido por parte de actores maliciosos".

Jenkins, una popular plataforma de integración y entrega continua (CI/CD), cuenta con una consola de scripts Groovy que permite a los usuarios ejecutar scripts arbitrarios dentro del tiempo de ejecución del controlador Jenkins. La documentación oficial advierte que el shell Groovy basado en la web puede usarse para leer archivos con datos confidenciales, descifrar credenciales y reconfigurar ajustes de seguridad.

La consola "no ofrece controles administrativos para evitar que un usuario afecte a toda la infraestructura de Jenkins", señala la documentación. "Otorgar a un usuario normal de Jenkins acceso a la consola de scripts es esencialmente lo mismo que otorgarle derechos de administrador".

Aunque el acceso a Script Console generalmente se limita a usuarios autenticados con permisos administrativos, las instancias de Jenkins mal configuradas pueden hacer que el endpoint "/script" (o "/scriptText") sea accesible inadvertidamente a través de Internet. Esto permite a los atacantes ejecutar comandos peligrosos.

Trend Micro encontró casos donde actores de amenazas explotaron la configuración incorrecta del complemento Jenkins Groovy para ejecutar una cadena codificada en Base64 con un script malicioso diseñado para minar criptomonedas en el servidor comprometido. El script asegura recursos suficientes para la minería, verificando y eliminando procesos que consumen más del 90% de los recursos de la CPU.

Para protegerse contra estos intentos de explotación, se recomienda garantizar una configuración adecuada, implementar una autenticación y autorización sólidas, realizar auditorías periódicas y restringir que los servidores Jenkins se expongan públicamente en Internet.

El aumento de los robos de criptomonedas por hackeos y exploits en la primera mitad de 2024 ha permitido a los actores de amenazas saquear $1.38 mil millones, frente a los $657 millones del año anterior. Los cinco principales hackeos y exploits representaron el 70% del total robado en lo que va del año. Los compromisos de clave privada y frase semilla siguen siendo vectores de ataque principales, junto con los exploits de contratos inteligentes y los ataques de préstamos flash.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta