Black Hat: средства непрерывной интеграции могут стать ахиллесовой пятой корпоративной сети

16:01 14.11.2015

|   985 прочтений



Если взломщики получат доступ к мастер-серверу такой системы автоматической сборки программных проектов, они смогут не только похитить код, но и выполнять команды на зависимых машинах, осуществляющих сборку, предостерегают исследователи.

Никхил Миттал провел на конференции Black Hat Europe презентацию, посвященную уязвимостям инструментов непрерывной интеграции (continuous integration, CI), — систем автоматической сборки программных проектов по расписанию. Если взломщики получат доступ к мастер-серверу такой системы, они смогут не только похитить код, но и выполнять команды на зависимых машинах, осуществляющих сборку, отметил исследователь.

И по его словам, при всех проводившихся им испытаниях проникновение в систему CI позволяло получить административный доступ ко всему ее сетевому домену из-за незащищенности установленных по умолчанию конфигураций CI-инструментов.

Миттал проверил CI-средства с открытым кодом Jenkins, CruiseControl and Go, а также проприетарные TeamCity и Hudson — у всех выявлены уязвимые конфигурации и функции, которые можно использовать для взлома. Он продемонстрировал ряд атак, позволяющих выполнять на взломанных системах команды, а также красть базы, верительные данные Git, ключи SSH и не только. Исследователь обнаружил, что многие CI-серверы напрямую доступны через Интернет и даже не требуют аутентификации. По его оценкам, как минимум у половины компаний разработки ПО подобные сервисы экспонированы вовне.


Теги: Информационная безопасность Программное обеспечение


На ту же тему: