Bei General Electric (GE) Aviation hat es einen Sicherheitsvorfall gegeben. Ein eigentlich privates Repository auf einem Jenkins-Server war ungeschützt per Internet abrufbar.
Anzeige
The Register berichtet hier über den Sicherheitsvorfall. Ein Sicherheitsforscher fand über die Suchmaschine Shodan fand eine Reihe privater Schlüssel auf einer falsch konfigurierten Jenkins-Instanz. "Es dauerte nur ein paar Klicks, bis ich auf einen Jenkins-Server stolperte, der Teil der internen kommerziellen Infrastruktur von GE Aviation zu sein schien", bloggte Bob Diachenko, Forscher bei Security Discovery.
Jenkins ist eine Service-Instanz, die von Entwicklern für die Integration und Bereitstellung verwendet wird. Sie wird über den Browser aufgerufen und kann sehr sensible Informationen enthalten. Neben dem Quellcode selbst, der IP (Intellectual Property) ist, lassen sich Konfigurationsdateien, API-Token, Datenbank-Anmeldeinformationen und vieles mehr auswerten.
Bereits im Juni beschloss der Sicherheitsforscher zu überprüfen, wie viele offene Jenkins-Instanzen für die Suche zur Verfügung stehen. Zum besseren Verständnis hat er ein zusätzliches Parsing von Shodan-Suchergebnissen auf html-Seiten durchgeführt. Am 7. Juli 2019 wurden von Shodan es 5.495 offene und öffentliche zugängliche Jenkins-Instanzen ausgewiesen, in Deutschland sind es 377.
(Jenkins-Instanzen auf Shodan)
Es brauchte nur ein paar Klicks, bis der Sicherheitsforscher auf einen Jenkins-Server stieß, der Teil der internen kommerziellen Infrastruktur von GE Aviation zu sein schien, wie der Forscher hier schreibt. Eine Readme-Datei, die sich im Repository befindet, enthält alle Details über die Art und die Vertraulichkeitsstufe der auf dem Server gespeicherten Dateien. Der Server enthielt Quellcode, Klartext-Passwörter, Konfigurationsdetails, sowie private Schlüssel aus einer Vielzahl von internen Infrastrukturen von GE Aviation.
Anzeige
Unmittelbar nach der Entdeckung hat der Sicherheitsforscher mehrere Benachrichtigungen an das GE-Team (auch per Twitter) schickt. Er wurde vom Sicherheitsteam innerhalb weniger Stunden nach der Benachrichtigung kontaktiert. Die Jenkins Instanz wurde am selben Tag offline gesetzt, aber es ist nicht bekannt, wie lange sie für den öffentlichen Zugang geöffnet ist. Das GE Aviation-Team erklärte, dass es eine DNS-Fehlkonfiguration gab, die dazu führte, dass der betroffene Server dem offenen Internet ausgesetzt wurde.
Anzeige
Schon ziemlich peinlich für GE, wenigstens haben sie schnell reagiert.
Ich verstehe nur nicht, weshalb das Sicherheitsteam die DNS Konfiguration nicht von Anfang an selbst gründlich geprüft hat, ob alles passt.
Das kann nur als nachlässige Arbeit bezeichnet werden.