Last Updated on 2024-07-10 05:31 by 門倉 朋宏
サイバーセキュリティ研究者たちは、Jenkins Script Consoleの不適切な設定を悪用して、犯罪活動、特に暗号通貨のマイニングに利用することが可能であることを発見した。不適切に設定された認証メカニズムにより、攻撃者が’/script’エンドポイントにアクセスし、リモートコード実行(RCE)を行い、悪意のある行為に利用する可能性がある。Jenkinsは、Groovyスクリプトコンソールを備えており、これを使用してJenkinsコントローラランタイム内で任意のGroovyスクリプトを実行できる。しかし、このコンソールは、一度アクセス権を得たユーザー(または管理者)がJenkinsインフラストラクチャの全ての部分に影響を与えることを防ぐ管理制御を提供していない。通常、Script Consoleへのアクセスは、管理権限を持つ認証済みユーザーに限定されているが、誤設定により’/script’(または’/scriptText’)エンドポイントがインターネット上でアクセス可能になり、攻撃者が危険なコマンドを実行するために悪用される可能性がある。
Trend Microは、攻撃者がJenkins Groovyプラグインの誤設定を悪用して、暗号通貨マイニングを目的とした悪意のあるスクリプトを含むBase64エンコードされた文字列を実行し、berrystore[.]meにホストされたマイナーペイロードを展開し、永続性を確立した事例を発見した。このスクリプトは、マイニングを効果的に実行するために十分なシステムリソースがあることを確認し、CPUリソースの90%以上を消費するプロセスを終了し、停止した全てのプロセスを終了する。
このような悪用を防ぐためには、適切な設定の確保、強固な認証と認可の実装、定期的な監査、およびJenkinsサーバーをインターネット上で公開しないように制限することが推奨される。2024年上半期には、ハックやエクスプロイトによる暗号通貨の盗難が急増し、犯罪者が13億8000万ドルを略奪し、前年比で657百万ドルから増加した。最も多く盗まれた上位5つのハックとエクスプロイトが、今年の総盗難額の70%を占めている。2024年における主な攻撃ベクトルには、プライベートキーとシードフレーズの妥協、スマートコントラクトのエクスプロイト、フラッシュローン攻撃が含まれる。
【ニュース解説】
Jenkins Script Consoleの不適切な設定を悪用した暗号通貨マイニング攻撃が発生しています。Jenkinsは、ソフトウェア開発の自動化を支援するCI/CD(継続的インテグレーション/継続的デリバリー)プラットフォームであり、Groovyスクリプトコンソールを通じて任意のスクリプトを実行できる機能を提供しています。この機能は本来、開発プロセスの効率化を目的としていますが、認証メカニズムが不適切に設定されている場合、外部の攻撃者によるリモートコード実行(RCE)の脅威にさらされることがあります。
攻撃者は、この脆弱性を利用して、暗号通貨を不正にマイニングするためのスクリプトを実行し、被害者のサーバー上でマイナーペイロードを展開します。このプロセスにより、攻撃者は被害者のコンピュータリソースを悪用し、暗号通貨を生成することが可能になります。このような攻撃は、システムリソースを大量に消費するため、被害者のシステム性能に重大な影響を及ぼす可能性があります。
この問題に対処するためには、Jenkinsの設定を適切に行い、認証と認可のメカニズムを強化することが重要です。また、Jenkinsサーバーをインターネット上で不必要に公開しないようにし、定期的なセキュリティ監査を実施することで、この種の攻撃から保護することが可能です。
この攻撃手法の発見は、暗号通貨の盗難が増加している現在の状況において、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、プライベートキーの妥協やスマートコントラクトのエクスプロイトなど、様々な攻撃手法が存在するため、個人や企業はセキュリティ対策を常に最新の状態に保つ必要があります。
長期的な視点では、このような攻撃の増加は、ソフトウェア開発プラットフォームのセキュリティ機能の強化や、開発者とセキュリティ専門家の間の連携を促進することの重要性を示しています。また、暗号通貨の安全な取引と保管のための新たな技術や規制の開発も求められるでしょう。このような取り組みを通じて、サイバーセキュリティの脅威に対する抵抗力を高め、安全なデジタル経済の発展を支えることができます。
from Hackers Exploiting Jenkins Script Console for Cryptocurrency Mining Attacks.
