Radware研究人員發現，可以利用12,000多個面向Internet的Jenkins服務器中的漏洞(CVE-2020-2100)來安裝和放大針對Internet主機的反射性DDoS攻擊。

該漏洞還可以由單個欺騙的UDP數據包觸發，以對那些相同的易受攻擊的Jenkins服務器發起DoS攻擊，方法是強制它們進入無限循環的答復，除非其中一臺服務器重新啟動或具有其Jenkins，否則這些答復無法停止。

[[315150]]

關于漏洞(CVE-2020-2100)

CVE-2020-2100由劍橋大學的Adam Thorn發現并以負責任的方式披露，它是由默認情況下啟用并在面向公眾的服務器中公開的網絡發現服務(UDP多播/廣播)引起的。

“該漏洞使攻擊者可以通過在端口UDP / 33848上反射UDP請求來濫用Jenkins服務器，從而導致包含Jenkins元數據的DDoS攻擊放大。

這是有可能的，因為Jenkins / Hudson服務器無法正確監視網絡流量，并處于打開狀態以發現其他Jenkins / Hudson實例。” Radware研究人員說。

攻擊者可以將UDP廣播數據包本地發送到255.255.255.255:33848，也可以將UDP多播數據包發送到JENKINS_REFLECTOR：33848。

當接收到數據包時，無論有效載荷如何，Jenkins / Hudson都會在數據報中向請求的客戶端發送Jenkins元數據的XML響應，從而使攻擊者能夠濫用其UDP多播/廣播服務進行DDoS攻擊。”

兩周前，該漏洞已在Jenkins 2.219和LTS 2.204.2中修復，方法是默認禁用Jenkins的兩個網絡發現服務(UDP多播/廣播和DNS多播)。

“需要這些特征可以通過設置系統屬性再次重新啟用它們管理系統：hudson.DNSMultiCast.disabled到假(對于DNS多播)或系統屬性hudson.udp至33848， ”詹金斯開發商的解釋咨詢。

禁用UDP多播/廣播服務的替代方法是添加防火墻策略以阻止對端口UDP / 33848的訪問。

危險之處

“類似于memcached，在開源Jenkins項目上進行設計和開發的人們都認為這些服務器將面向內部，” Radware的網絡安全宣傳員Pascal Geenens告訴Help Net Security。不幸的是，現實是許多Jenkins服務器最終被公開暴露。

[[315151]]

Radware在Internet上掃描了易受CVE-2020-2100影響的Jenkins服務器，發現其中近13,000臺服務器分布在全球，但主要分布在亞洲，歐洲和北美。而且，大多數公開的服務器都位于頂級服務提供商內。

“許多DevOps團隊依靠Jenkins來構建，測試和持續部署在云和共享托管環境(例如Amazon，OVH，Hetzner，Host Europe，DigitalOcean，Linode等)中運行的應用程序，” Geenens指出。

Radware的研究人員確定了當前所有暴露的服務器上Jenkins反射放大攻擊的平均帶寬放大系數：3.00。研究人員總結說：“它與全球超過12,000臺暴露的Jenkins服務器結合在一起，構成了可行的DDoS威脅。”