![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Bei General Electric (GE) Aviation hat es einen Sicherheitsvorfall gegeben. Ein eigentlich privates Repository auf einem Jenkins-Server war ungesch\u00fctzt per Internet abrufbar. <\/p>\nBei General Electric (GE) Aviation hat es einen Sicherheitsvorfall gegeben. Ein eigentlich privates Repository auf einem Jenkins-Server war ungesch\u00fctzt per Internet abrufbar. <\/p>\n
<\/p>\n
Jenkins ist eine Service-Instanz, die von Entwicklern f\u00fcr die Integration und Bereitstellung verwendet wird. Sie wird \u00fcber den Browser aufgerufen und kann sehr sensible Informationen enthalten. Neben dem Quellcode selbst, der IP (Intellectual Property) ist, lassen sich Konfigurationsdateien, API-Token, Datenbank-Anmeldeinformationen und vieles mehr auswerten. <\/p>\n<\/blockquote>\n Bereits im Juni beschloss der Sicherheitsforscher zu \u00fcberpr\u00fcfen, wie viele offene Jenkins-Instanzen f\u00fcr die Suche zur Verf\u00fcgung stehen. Zum besseren Verst\u00e4ndnis hat er ein zus\u00e4tzliches Parsing von Shodan-Suchergebnissen auf html-Seiten durchgef\u00fchrt. Am 7. Juli 2019 wurden von Shodan es 5.495 offene und \u00f6ffentliche zug\u00e4ngliche Jenkins-Instanzen ausgewiesen, in Deutschland sind es 377.<\/p>\nThe Register berichtet hier<\/a> \u00fcber den Sicherheitsvorfall. Ein Sicherheitsforscher fand \u00fcber die Suchmaschine Shodan fand eine Reihe privater Schl\u00fcssel auf einer falsch konfigurierten Jenkins-Instanz. \"Es dauerte nur ein paar Klicks, bis ich auf einen Jenkins-Server stolperte, der Teil der internen kommerziellen Infrastruktur von GE Aviation zu sein schien\", bloggte<\/a> Bob Diachenko, Forscher bei Security Discovery.<\/p>\n
\n
![\"Jenkins-Instanzen](\"https:\/\/i.imgur.com\/39acQmW.jpg\"\/ "\\"Jenkins-Instanzen")
(Jenkins-Instanzen auf Shodan)<\/p>\n