JenkinsMiner schürft Monero-Einheiten

Schwachstelle in Jenkins Server für Cryptomining genutzt

| Redakteur: Stephan Augsten

Über speziell gestaltete Aufrufe ist es möglich, Schadcode an Jenkins CI Server auszuliefern.
Bildergalerie: 1 Bild
Über speziell gestaltete Aufrufe ist es möglich, Schadcode an Jenkins CI Server auszuliefern. (Bild: Check Point)

Über eine bekannte Sicherheitslücke in der „Jenkins Java Deserialization“-Implementierung lassen sich Jenkins CI Server kapern. Die Anfälligkeit wurde offenbar bereits für Cryptomining-Aktivitäten ausgenutzt, wie Check Point Software Technologies vermeldet.

Continuous-Integration-Server auf Jenkins-Basis sind weit verbreitet, davon wollen nun offenbar auch Cyber-Kriminelle profitieren. Diesen Schluss lässt zumindest eine aktuelle Untersuchung von Check Point zu. Der Sicherheitsanbieter hat die Aktivitäten des Krypto-Mining-Tools XMRig Miner untersucht, das im Rahmen von Malware-Kampagnen auf Rechner eingeschleust wird, um Monero-Einheiten zu schürfen.

Bei einem Großteil der gekaperten Systeme handelt es sich um Windows-Rechner. Doch die Sicherheitsforscher stießen auf Indizien, dass die mutmaßlich aus China stammenden Hintermänner auch die Rechenleistung von Jenkins-CI-Servern nutzen. Infolgedessen kann es auf den infiltrierten Servern zu langen Ladezeiten bis hin zu einer Dienstblockade (Denial of Service) kommen.

Grund ist eine bekannte Schwachstelle in der „Jenkins Java Deserialization“-Implementierung, die unter der ID CVE-2017-1000353 gelistet ist. Zwei aufeinanderfolgende Anfragen an das Command Line Interface (CLI) reichen demnach, um die Server zu kapern und den Schadcode einzuschleusen. Der kritische Schwachpunkt liegt laut Check Point an der unzureichenden Prüfung der eingereihten Objekte. Nach der Serialisierung werden alle Anfragen ungeprüft akzeptiert.

Im ersten Schritt wird eine initiale Session-Anforderung gesendet, unmittelbar danach wird die zweite, speziell gestaltete (und auf den Session-Header abgestimtme) Anfrage abgeschickt. Die letzte Anfrage enthält zwei Hauptobjekte: Das erste ist das Capability-Objekt, das den Server über die Client-Fähigkeiten informiert, das zweite ist ein Command-Objekt, das den Monero-Miner als Payload enthält und in den Jenkins CI Server injiziert.

Technische Details finden sich im Research-Bereich von Check Point. Während die Attacke selbst gut verschleiert ist, verwischen die Angreifer ihre Spuren auf anderer Ebene nicht: Im Rahmen sämtlicher Attacken kam nach Erkenntnissen von Check Point nur eine Monero-Wallet zum Einsatz, die inzwischen einen Gegenwert von über 3 Millionen US-Dollar enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45154676 / Malware)