Tags:
Node Thumbnail

เมื่อต้นปีที่ผ่านมา Jenkins โครงการซอฟต์แวร์ CI/CD แบบโอเพนซอร์สปล่อยแพตช์ช่องโหว่ความปลอดภัยออกมา และตอนนี้ก็เริ่มมีรายงานรวมถึงตัวอย่างโค้ดสำหรับโจมตีออกมาแล้ว ทำให้ผู้ที่ใช้ Jenkins โดยเฉพาะผู้ที่เปิดเซิร์ฟเวอร์ออกสู่อินเทอร์เน็ตควรเร่งแพตช์โดยเร็ว

ช่องโหว่นี้เกิดจากการใช้ไลบรารี args4j ซึ่งมีฟีเจอร์สามารถใช้เครื่องหมาย @ เพื่ออ้างอิงไฟล์อื่นๆ ได้ ในกรณีนี้ทางโครงการ Jenkins ไม่ได้ตระหนักว่ามีฟีเจอร์นี้และไม่ได้ปิดไว้ ทำให้คนร้ายสามารถส่งโค้ดเข้ามารันในเครื่องได้ ผ่านทางช่องทางต่างๆ เช่น Remote Root URLs หรือ Cookie

Tags:
Node Thumbnail

คุณพ่อบ้าน Jenkins เป็นเครื่องมือโอเพนซอร์สเพื่อทำ automation สำหรับโครงการพัฒนาซอฟต์แวร์ที่ได้รับความนิยมสูง และเป็นองค์ประกอบสำคัญของการทำ CI/CD หรือ DevOps ในยุคปัจจุบัน

เราสามารถนำ Jenkins มาใช้กับ infrastructure ยุคใหม่อย่าง Kubernetes ได้อยู่แล้ว แต่การเซ็ต Jenkins เองอาจมีความยุ่งยากอยู่บ้าง ผู้ให้บริการคลาวด์บางรายจึงเริ่มผนวก Jenkins เข้ามากับบริการ Kubernetes กันบ้างแล้ว

ข่าวนี้เป็นฝั่งกูเกิล ที่เปิดตัว Jenkins Plugin สำหรับการประสานระบบของ Jenkins เข้ากับ Google Kubernetes Engine (GKE) จุดเด่นของมันคือเราสามารถสั่ง deploy ซอฟต์แวร์ที่เขียนไปยังเครื่องบน GKE ได้ทันที

Tags:
Node Thumbnail

บริษัทวิจัยด้านความปลอดภัย Check Point ออกมาประกาศค้นพบการอาศัยช่องโหว่ในกระบวนการ deserialize Java ของ Jenkins (CVE-2017-1000353) ที่เปิดให้แฮกเกอร์ส่งข้อความเข้ามา ทำให้เซิร์ฟเวอร์ดาวน์โหลดและติดตั้งมัลแวร์ขุดเหมืองเงินคริปโตสกุล Monero (minerxmr.exe) และสร้างรายได้ให้แฮกเกอร์ไปไม่ต่ำกว่า 10,800 Monero ตีเป็นเงินราว 3.4 ล้านเหรียญสหรัฐ ตลอดเวลาหลายเดือนที่ผ่านมา

เมื่อหา IP ต้นทางที่โฮสต์ไฟล์ minerxmr.exe ปรากฎว่าเป็น IP ในประเทศจีน ซึ่งก็ไม่รู้ว่าเป็นเซิร์ฟเวอร์ของแฮกเกอร์หรือเซิร์ฟเวอร์ที่ถูกเจาะและฝากไฟล์เอาไว้ โดย Check Point ระบุว่า Jenkins บนวินโดวส์ถูกเจาะไปมากที่สุดและมีเซิร์ฟเวอร์ Jenkins อีกไม่ต่ำกว่า 25,000 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ต