Kritik bir Jenkins güvenlik açığı için çoklu kavram kanıtı (POC) istismarları, kimlik doğrulanmamış saldırganların keyfi dosyaları okumasına izin veriyor, bazı araştırmacılar saldırıdaki kusurları aktif olarak kullandıklarını bildiriyorlar.
Jenkins, özellikle sürekli entegrasyon (CI) ve sürekli dağıtım (CD) için, yazılım geliştirmede yaygın olarak kullanılan açık kaynaklı bir otomasyon sunucusudur.
Uygulamaların oluşturulması, test edilmesi ve dağıtılması gibi yazılım geliştirme sürecinin çeşitli bölümlerini otomatikleştirmede kritik bir rol oynar. Binten fazla entegrasyon eklentisini destekler ve büyük işletmeler de dahil olmak üzere her büyüklükteki kuruluş tarafından kullanılır.
Sonarsource araştırmacıları, Jenkins'te saldırıların savunmasız sunuculardaki verilere erişmesini ve belirli koşullar altında keyfi CLI komutları yürütmesini sağlayabilecek iki kusur keşfettiler.
Kritik olarak derecelendirilen ilk kusur, CVE-2024-23897'dir ve kimlik doğrulanmamış saldırganlara Jenkins sunucusundaki keyfi dosyalardan veri okuma iznine izin verir.
Bu izni olmayan saldırganlar, mevcut CLI komutlarına bağlı olarak sayı ile ilk birkaç dosya satırını okuyabilirler.
Kusur, Jenkins'teki Args4j komut ayrıştırıcısının varsayılan davranışından kaynaklanır, bu da bir bağımsız değişken "@" karakteriyle başladığında dosya içeriğini otomatik olarak komut argümanlarına genişletir ve Jenkins denetleyici dosya sistemindeki keyfi dosyaların yetkisiz okunmasına izin verir.
Sonar, belirli bir kusurun sömürülmesinin yönetici ayrıcalığına yükselme ve keyfi uzaktan kumanda yürütmesine yol açabileceğini açıkladı. Bununla birlikte, bu adım, her saldırı varyantı için farklı olan, karşılanması gereken belirli koşullara bağlıdır.
CVE-2024-23898 olarak izlenen ikinci kusur, saldırganların bir kullanıcıyı kötü niyetli bir bağlantıyı tıklatarak kandırarak keyfi CLI komutlarını yürütebileceği bir site-WebSocket kaçırma sorunudur.
Bu hatadan kaynaklanan bu risk, web tarayıcılarındaki mevcut koruyucu politikalar tarafından hafifletilmelidir, ancak bu politikaların evrensel uygulanmasının olmaması nedeniyle devam etmektedir.
Sonarsource, 13 Kasım 2023'te Jenkins Güvenlik Ekibine kusurları bildirdi ve sonraki aylarda düzeltmelerin doğrulanmasına yardımcı oldu.
24 Ocak 2024'te Jenkins, 2.442 ve LTS 2.426.3 sürümleriyle iki kusur için düzeltmeler yayınladı ve çeşitli saldırı senaryolarını ve sömürü yollarını paylaşan bir danışmanlık ve güvenliği uygulayamayanlar için düzeltme açıklamaları ve olası geçici çözümler yayınladı. Güncellemeler.
Şu anda mevcut olan Jenkins kusurları hakkında bol miktarda bilgi ile, birçok araştırmacı saldırı senaryolarının bir kısmını yeniden üretti ve GitHub'da yayınlanan çalışan POC istismarları yarattı.
POC'ler, saldırganlara kaldırılmamış Jenkins sunucularında uzaktan kod yürütme sağlayan CVE-2024-23897 içindir.
Bu POC'lerin birçoğu zaten doğrulanmıştır, bu nedenle açık sunucular için tarayan saldırganlar komut dosyalarını alabilir ve minimum veya hiç değişiklik yapmadan deneyebilirler.
Bazı araştırmacılar, Jenkins Honeypot'larının zaten vahşi doğada faaliyet yakaladığını bildirerek bilgisayar korsanlarının güvenlik açıklarından yararlanmaya başladığını gösteriyor.
Bilgisayar korsanları, POC POC'yi kullanarak kritik Apache Struts kusurlarını kullanıyor
Citrix Bleed Sazisi Hacker'ların NetScaler Hesaplarını Kaçınmasına İzin Verin
Kamu istismarlarını kullanarak RCE saldırılarına maruz kalan 45K Jenkins sunucuları
VMware, şimdi saldırılarda sömürülen kritik venter kusurunu doğrular
Citrix, saldırılarda sömürülen yeni Netscaler sıfır günlerini uyarıyor
Kaynak: Bleeping Computer