Como uma instância Jenkins exposta levou a um comprometimento de infraestrutura em grande escala

No cenário digital atual, as lacunas de segurança podem aumentar rapidamente, muitas vezes transformando pequenas configurações incorretas em violações completas. Um desses casos envolveu um caso exposto de Jenkins, que, se não fosse verificado, poderia ter levado a consequências devastadoras. A BeVigil da CloudSEK descobriu essa lacuna de segurança, destacando os perigos de pipelines de CI/CD mal configurados e os efeitos em cascata do acesso não autorizado.

Jenkins

O Jenkins é um servidor de automação amplamente usado que facilita a integração e a implantação contínuas (CI/CD). Embora aumente a eficiência operacional, suas configurações incorretas podem servir como um convite aberto para ameaças cibernéticas. Nesse caso, uma instância Jenkins exposta publicamente concedeu aos usuários não autorizados controle total sobre vários servidores críticos.

Uma porta deixada totalmente aberta

O scanner WebApp da BeVigil identificou um serviço Jenkins não autenticado acessível pela Internet. Após uma inspeção mais aprofundada, descobriu-se que essa vulnerabilidade permitia:

• Execução remota de código (RCE): Os atacantes poderiam executar comandos no Jenkins, levando ao controle sobre os servidores associados.
• Comprometimento da produção e dos servidores UAT: Vários ambientes, incluindo servidores de implantação de PHP, React e Java, estavam acessíveis, aumentando significativamente a superfície de ataque.
• Roubo de credenciais: As chaves da AWS, as credenciais do Redis, as chaves criptográficas do BitBucket e os segredos de autenticação estavam todos disponíveis para exploração.

Um efeito dominó das falhas de segurança

1. Comprometimento do servidor e execução de código

O acesso ao Jenkins permitiu que os invasores aumentassem seus privilégios em cinco servidores diferentes, permitindo que eles manipulassem construções e implantações de software, executassem comandos de shell não autorizados e extraíssem dados confidenciais, incluindo tokens de API e chaves de segurança.

2. Exposição de credenciais críticas

Os pesquisadores do CloudSek encontraram chaves de acesso da AWS codificadas, credenciais de banco de dados Redis e tokens de autenticação BitBucket dentro da infraestrutura exposta. Essas credenciais poderiam ter permitido que invasores acessassem o armazenamento em nuvem e modificassem ou excluíssem recursos críticos, controlassem instâncias do Redis para manipular dados de cache e sessão e clonassem repositórios privados contendo código proprietário.

‍

‍

3. Violação de banco de dados e riscos regulatórios

As credenciais vazadas facilitaram o acesso a um banco de dados de produção contendo informações de identificação pessoal (PII) de clientes e funcionários. Esse nível de exposição introduz violações de conformidade, incluindo possíveis violações do GDPR, da CCPA e de outras regulamentações de proteção de dados, levando a repercussões legais e financeiras.

‍

‍

Fechando as lacunas

Reconhecendo os riscos, a organização afetada tomou medidas corretivas rápidas para mitigar as vulnerabilidades:

• Isolamento imediato do servidor: Os servidores comprometidos foram desconectados para evitar uma maior exploração.
• Rotação de credenciais: AWS, Redis e outras chaves expostas foram revogadas e substituídas.
• Controles de acesso aprimorados: Políticas de autenticação multifator (MFA) e acesso com privilégios mínimos foram aplicadas.

Considerações finais

O caso da instância Jenkins exposta serve como uma advertência sobre como pequenas configurações incorretas podem levar a grandes violações de segurança. As organizações devem adotar uma abordagem de segurança proativa, aproveitando ferramentas como o BeVigil para identificar e mitigar as ameaças antes que elas aumentem.

Com as ameaças à cibersegurança se tornando cada vez mais sofisticadas, proteger a infraestrutura não é apenas uma opção, é uma necessidade absoluta.