09 de julio de 2024Sala de prensaSeguridad de CI/CD / Seguridad del servidor Los investigadores de ciberseguridad han descubierto que es posible que los atacantes utilicen instancias de Jenkins Script Console configuradas incorrectamente para promover actividades delictivas como la minería de criptomonedas. «Las configuraciones incorrectas, como los mecanismos de autenticación configurados incorrectamente, exponen el punto final ‘/script’ a los atacantes», dijeron Shubham Singh y Sunil Bharti de Trend Micro en un artículo técnico publicado la semana pasada. «Esto puede provocar la ejecución remota de código (RCE) y el uso indebido por parte de actores maliciosos». Jenkins, una popular plataforma de integración continua y entrega continua (CI/CD), cuenta con una consola de scripts Groovy que permite a los usuarios ejecutar scripts Groovy arbitrarios dentro del entorno de ejecución del controlador Jenkins. Los mantenedores del proyecto, en la documentación oficial, señalan explícitamente que el shell Groovy basado en la web se puede utilizar para leer archivos que contengan datos confidenciales (por ejemplo, «/etc/passwd»), descifrar credenciales configuradas dentro de Jenkins e incluso reconfigurar los ajustes de seguridad. La consola «no ofrece controles administrativos para evitar que un usuario (o administrador) una vez que puede ejecutar la consola de scripts afecte a todas las partes de la infraestructura de Jenkins», se lee en la documentación. «Otorgarle a un usuario normal de Jenkins acceso a la consola de scripts es esencialmente lo mismo que darle derechos de administrador dentro de Jenkins». Si bien el acceso a la consola de scripts generalmente está limitado solo a usuarios autenticados con permisos administrativos, las instancias de Jenkins mal configuradas podrían hacer que el punto final «/script» (o «/scriptText») sea accesible a través de Internet, lo que lo hace propicio para la explotación por parte de atacantes que buscan ejecutar comandos peligrosos. Trend Micro dijo que encontró instancias de actores de amenazas que explotan la configuración incorrecta del complemento Groovy de Jenkins para ejecutar una cadena codificada en Base64 que contiene un script malicioso diseñado para extraer criptomonedas en el servidor comprometido mediante la implementación de una carga útil de minería alojada en berrystore[.]»El script se asegura de que tiene suficientes recursos del sistema para realizar la minería de manera efectiva», dijeron los investigadores. «Para hacer esto, el script verifica los procesos que consumen más del 90% de los recursos de la CPU y luego procede a matar estos procesos. Además, terminará todos los procesos detenidos». Para protegerse contra tales intentos de explotación, se recomienda garantizar una configuración adecuada, implementar una autenticación y autorización sólidas, realizar auditorías periódicas y restringir que los servidores de Jenkins se expongan públicamente en Internet. El desarrollo se produce cuando los robos de criptomonedas derivados de hacks y exploits han aumentado en la primera mitad de 2024, lo que ha permitido a los actores de amenazas saquear $ 1.38 mil millones, frente a los $ 657 millones del año anterior. «Los cinco principales hacks y exploits representaron el 70% de la cantidad total robada en lo que va de año», dijo la plataforma de inteligencia blockchain TRM Labs. «Los compromisos de claves privadas y frases semilla siguen siendo un vector de ataque principal en 2024, junto con los exploits de contratos inteligentes y los ataques de préstamos flash». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.