圖片來源:GE Aviation,翻攝自https://www.youtube.com/watch?

資安業者Security Discovery最近在檢查網路上公開的Jenkins實例時,發現有個實例屬於美國奇異航空(GE Aviation),而且存放了原始碼、明文密碼、配置細節,以及該公司內部架構的各種私鑰,被知會的奇異航空當天就關閉了該實例,並坦承是因DNS配置錯誤所造成。

Jenkins為最受開發人員愛戴的持續整合工具,它可藉由瀏覽器存取,且經常存放著許多機密資訊,涵蓋原始碼、智慧財產、API權杖或資料庫憑證等。

Security Discovery的網路安全顧問Bob Diachenko表示,他利用Shodan來搜尋網路上可公開存取的Jenkins實例,在7月7日的搜尋結果是5,495個,當中有一個就屬於奇異航空,且存放了程式的原始碼、明文密碼、配置細節,以及奇異航空各種內部架構的私鑰。

Diachenko馬上通知奇異航空,對方的安全團隊也在幾小時後主動與他聯繫,且於同一天就關閉了這個公開的Jenkins實例,並向Security Discovery作出了解釋。

奇異航空表示,此事是因DNS配置錯誤所造成,且在Jenkins伺服器上所曝光的使用者名稱及密碼,只能用於自內部網路存取特定的應用程式,另也沒有客戶資料或重要的奇異資料受到影響。這意味著就算曾有駭客取得了這些憑證,他們也必須先入侵奇異的內部網路才能加以利用。

儘管沒有證據表明曾有其他人存取了該伺服器,但為了安全起見,奇異還是重設了曾於該伺服器上曝光的所有憑證。


Advertisement

更多 iThome相關內容