Jenkins s’évite un désastre après une perte partielle de la base de données des utilisateurs

L’incident a eu lieu la semaine dernière, le 2 juin, et a entraîné une panne du portail Jenkins Artifactory portal – utilisé par les développeurs de plugins Jenkins pour télécharger et gérer les artefacts des plugins.

L’équipe Jenkins a déclaré qu’une erreur dans un système Kubernetes les avait obligés à reconstruire des parties du portail Artifactory à partir de zéro.

Au cours de ce processus de reconstruction, l’équipe a déclaré avoir perdu trois mois de modifications de la base de données LDAP, y compris des détails sur les comptes utilisateurs utilisés par les développeurs de plugins Jenkins.

“Notre compte d’entreprise (42Crunch) est l’un des comptes qui a été supprimé”, a déclaré Dmitry Sotnikov (https://twitter.com/DSotnikov), chef de produit chez 42Crunch, à ZDNet dans une interview hier.

Sotnikov a déclaré avoir suivi les instructions de l’équipe Jenkins et réenregistré leur ancien compte.

“Une fois que nous l’avons fait, nous avons constaté que ce nouveau compte obtenait automatiquement l’accès et les autorisations que l’ancien compte, supprimé, avait – y compris la pleine propriété de notre extension Jenkins sur le marché.

“Cela signifie que quelqu’un aurait pu nous doubler et enregistrer un compte avec un nom identique au nôtre, et ensuite pousser une mise à jour malveillante aux utilisateurs en notre nom”, a déclaré M. Sotnikov.

M. Sotnikov a également soulevé la question avec le personnel de Jenkins sur leur forum de discussion Google Groups.

Suite à la découverte du directeur de 42Crunch, l’équipe Jenkins a bloqué tout chargement de nouveaux artefacts sur le portail Jenkins Artifactory afin d’empêcher les acteurs malveillants de profiter de cette faille et de remplacer les artefacts (fichiers) des plugins par des versions malveillantes.

Aucun signe d’activité malveillante

L’équipe Jenkins a également procédé à un audit de sécurité. Les developpeurs ont déclaré avoir examiné tous les téléchargements d’artefacts entre le 2 juin (la panne) et le 9 juin, lorsque le problème a été porté à leur attention et n’a trouvé aucun téléchargement suspect.

Les développeurs de Jenkins ont déclaré que si un acteur malveillant avait pu télécharger de nouveaux artefacts, le risque réel de diffusion de plugin malveillant restait faible car les attaquants auraient également dû détourner le compte de plugin d’un utilisateur en même temps que le compte Jenkins Artifactory.

Les développeurs de Jenkins se préparent à révéler l’incident à tous les utilisateurs d’Artifactory qui ont vu leur compte supprimé lors de la panne du 2 juin et mettent en place des mesures de vérification supplémentaires pour empêcher toute tentative de détournement de compte par des tiers non autorisés.