Un chercheur a trouvé des serveurs Jenkins mal configurés

Le chercheur londonien Mikail Tunç a mené une analyse via le moteur de recherche Shodan dans le but de trouver des serveurs Jenkins accessibles depuis Internet et en a découvert environ 25 000.

L'expert a étudié environ la moitié d'entre eux et a déterminé que 10 à 20% étaient mal configurés puis a passé des semaines à les analyser et en a avisé les fournisseurs concernés.

Jenkins est un serveur d'automatisation open source utilisé par les développeurs de logiciels pour l'intégration continue. Le chercheur précise que Jenkins nécessite des identifiants pour l'accès au dépôt de code (GitHub) ou aux environnements de déploiement (AWS, Azure). Ainsi des défauts de configuration peuvent être la cause d'exposition de données.

Certains systèmes mal configurés découverts par Tunç fournissaient par défaut des autorisations d'invité ou d'administrateur à n'importe quel compte enregistré. De plus, des serveurs Jenkins utilisaient un système d'authentification SAML/OAuth lié à Github ou Bitbucket, mais ils permettaient à n'importe quel compte GitHub ou Bitbucket de se connecter au lieu de se limiter aux comptes appartenant à l'organisation.

Une grande majorité des serveurs Jenkins mal configurés ont divulgué des informations sensibles, notamment des informations d'identification pour les dépôts de code source privés, des informations d'identification pour les environnements de déploiement (par exemple, noms d'utilisateur, mots de passe, clés privées et jetons AWS) en plus d'autres données sensibles.

L'une des instances exposées de Jenkins, qui a divulgué des tokens sensibles, appartenait à Google, mais le géant de la technologie a rapidement résolu le problème après en avoir été informé.