GE Aviation: Privates Repository auf Jenkins-Server frei im Internet zugänglich

Bei General Electric (GE) Aviation hat es einen Sicherheitsvorfall gegeben. Ein eigentlich privates Repository auf einem Jenkins-Server war ungeschützt per Internet abrufbar.


Anzeige

The Register berichtet hier über den Sicherheitsvorfall. Ein Sicherheitsforscher fand über die Suchmaschine Shodan fand eine Reihe privater Schlüssel auf einer falsch konfigurierten Jenkins-Instanz. "Es dauerte nur ein paar Klicks, bis ich auf einen Jenkins-Server stolperte, der Teil der internen kommerziellen Infrastruktur von GE Aviation zu sein schien", bloggte Bob Diachenko, Forscher bei Security Discovery.

Jenkins ist eine Service-Instanz, die von Entwicklern für die Integration und Bereitstellung verwendet wird. Sie wird über den Browser aufgerufen und kann sehr sensible Informationen enthalten. Neben dem Quellcode selbst, der IP (Intellectual Property) ist, lassen sich Konfigurationsdateien, API-Token, Datenbank-Anmeldeinformationen und vieles mehr auswerten.

Bereits im Juni beschloss der Sicherheitsforscher zu überprüfen, wie viele offene Jenkins-Instanzen für die Suche zur Verfügung stehen. Zum besseren Verständnis hat er ein zusätzliches Parsing von Shodan-Suchergebnissen auf html-Seiten durchgeführt. Am 7. Juli 2019 wurden von Shodan es 5.495 offene und öffentliche zugängliche Jenkins-Instanzen ausgewiesen, in Deutschland sind es 377.

Jenkins-Instanzen auf Shodan
(Jenkins-Instanzen auf Shodan)

Es brauchte nur ein paar Klicks, bis der Sicherheitsforscher auf einen Jenkins-Server stieß, der Teil der internen kommerziellen Infrastruktur von GE Aviation zu sein schien, wie der Forscher hier schreibt. Eine Readme-Datei, die sich im Repository befindet, enthält alle Details über die Art und die Vertraulichkeitsstufe der auf dem Server gespeicherten Dateien. Der Server enthielt Quellcode, Klartext-Passwörter, Konfigurationsdetails, sowie private Schlüssel aus einer Vielzahl von internen Infrastrukturen von GE Aviation.


Anzeige

Unmittelbar nach der Entdeckung hat der Sicherheitsforscher mehrere Benachrichtigungen an das GE-Team (auch per Twitter) schickt. Er wurde vom Sicherheitsteam innerhalb weniger Stunden nach der Benachrichtigung kontaktiert. Die Jenkins Instanz wurde am selben Tag offline gesetzt, aber es ist nicht bekannt, wie lange sie für den öffentlichen Zugang geöffnet ist. Das GE Aviation-Team erklärte, dass es eine DNS-Fehlkonfiguration gab, die dazu führte, dass der betroffene Server dem offenen Internet ausgesetzt wurde.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu GE Aviation: Privates Repository auf Jenkins-Server frei im Internet zugänglich

  1. RUTZ-AhA sagt:

    Schon ziemlich peinlich für GE, wenigstens haben sie schnell reagiert.
    Ich verstehe nur nicht, weshalb das Sicherheitsteam die DNS Konfiguration nicht von Anfang an selbst gründlich geprüft hat, ob alles passt.
    Das kann nur als nachlässige Arbeit bezeichnet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.