通用电气航空集团源代码和明文密码等遭暴露

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

通用电气旗下的 GE 航空集团所属的一个公开可访问的 Jenkins服务器暴露了该公司内部商业基础设施的源代码、明文密码、全球系统配置详情以及私钥。

通用电气航空集团是全球顶级商用飞机发动机供应商之一，提供多种飞机部件产品。该服务器中还包含一个 ReadMe 文件，列出了其中包含的所有文件及其敏感性。

Jenkins是用 Java 编写而成的开源自动化服务器。通用电气航空集团表示，该服务器的 DNS 图式（用于将人类可读域名转换为计算机可读 IP 地址）配置错误，导致受影响服务器被暴露于公开可访问的互联网上。

发现这些被暴露数据的安全研究员 Bob Diachenko 表示，“开发人员使用 Jenkins 服务实例用于集成和部署。用户通过浏览器访问，而且其中存储着非常敏感的信息。除了知识财产源代码以外，人们还可能挖掘出配置文件、API令牌、数据库凭证等。”

Diachenko是在查看到底能从 Shodan 上搜索出多少公开可访问的 Jenkins 实例后偶然发现这个公开的服务器的。截止2019年7月7日，Shodan上出现了5495个公开可访问的Jenkins 实例。

他指出，“Jenkins和其它服务实例的主要问题在于缺乏访问面板。因此任何人均可访问数据和代码。开发人员为了方便（如远程访问项目）禁用了密码保护。”

Diachenko 表示，今年6月份发现公开的通用电气航空集团的服务器后，他向通用电气发送了多份通知并最终和安全团队取得联系，后者加固了服务器的安全。他表示目前尚不知晓它被暴露多久。

通用电气航空集团将该问题评估为中危级别，虽然被暴露文件的数量庞大且非常敏感。该公司表示并未发现其他人访问服务器中数据的证据，不过“出于谨慎考虑”重置了所有的凭证。

通用电气航空集团发表声明称，“该服务器暴露了明文用户名和密码，但这些凭证被映射到仅可从内网访问的应用程序中，消费者数据或者其它重要数据并不受影响。”另外声明指出，“我们建议其它公司执行常规的静态 DNS 映射审计，确保删除没有必要存在的映射，以避免类似情况的发生。”

原文链接

https://threatpost.com/ge-aviation-passwords-jenkins-server/146302/

https://securitydiscovery.com/ge-aviation-exposed/

题图：Pixabay License

文内图：securitydiscovery

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。