Investigadores de ciberseguridad descubrieron recientemente que las instancias de Jenkins Script Console mal configuradas pueden ser explotadas por atacantes para llevar a cabo actividades delictivas, como la minería de criptomonedas.
Shubham Singh y Sunil Bharti de Trend Micro señalaron que las malas configuraciones, como la falta de autenticación, exponen el punto final ‘/script’ a los atacantes, lo que potencialmente puede llevar a la ejecución remota de código (RCE) y su mal uso por actores malintencionados.
Jenkins, conocido por ser una plataforma popular de integración y entrega continua (CI/CD), cuenta con una consola de secuencias de comandos Groovy que permite ejecutar secuencias de comandos arbitrarias. Esta consola, según la documentación oficial del proyecto, puede ser utilizada para leer archivos con datos sensibles, descifrar credenciales y reconfigurar la configuración de seguridad, sin ofrecer controles administrativos efectivos para detener su uso indebido.
Aunque el acceso a la Consola de Secuencias de Comandos se limita generalmente a usuarios autenticados con permisos administrativos, las instancias mal configuradas podrían exponer el punto final «/script» a través de Internet, volviéndolo susceptible a la explotación por parte de atacantes en busca de ejecutar comandos peligrosos.
Trend Micro también reveló casos en los que los actores de amenazas estaban aprovechando la mala configuración del complemento Jenkins Groovy para ejecutar un script malicioso diseñado para minar criptomonedas en servidores comprometidos. Para protegerse contra esto, se recomienda implementar una autenticación sólida, realizar auditorías periódicas y restringir la exposición pública de los servidores Jenkins en Internet.
Estos hallazgos se dan en un contexto en el que el robo de criptomonedas a través de hackeos y explotaciones ha aumentado significativamente en la primera mitad del 2024, alcanzando los $1.38 mil millones, frente a los $657 millones del año anterior. Las compromisos de claves privadas y frases de semilla siguen siendo un importante vector de ataque, junto con las explotaciones de contratos inteligentes y los ataques de préstamos flash.
Vía The Hacker News
