Πολλαπλές εκμεταλλεύσεις proof-of-concept (PoC) για μια κρίσιμη ευπάθεια Jenkins που επιτρέπει σε μη πιστοποιημένους εισβολείς να διαβάζουν αυθαίρετα αρχεία έχουν δημοσιοποιηθεί, με ορισμένους
ερευνητές
να αναφέρουν ότι οι εισβολείς εκμεταλλεύονται ενεργά τα ελαττώματα στις επιθέσεις.
Ο Jenkins είναι ένας διακομιστής αυτοματισμού ανοιχτού κώδικα που χρησιμοποιείται ευρέως στην ανάπτυξη λογισμικού, ιδιαίτερα για τη Συνεχή Ενοποίηση (CI) και τη Συνεχή Ανάπτυξη (CD).
Διαδραματίζει κρίσιμο ρόλο στην αυτοματοποίηση διαφόρων τμημάτων της διαδικασίας ανάπτυξης λογισμικού, όπως η
κατασκευή
, η δοκιμή και η ανάπτυξη εφαρμογών. Υποστηρίζει πάνω από χίλια πρόσθετα ενσωμάτωσης και χρησιμοποιείται από οργανισμούς όλων των μεγεθών, συμπεριλαμβανομένων μεγάλων επιχειρήσεων.
Ερευνητές του SonarSource
ανακαλύφθηκε
δύο ελαττώματα στο Jenkins που θα μπορούσαν να επιτρέψουν στις επιθέσεις να έχουν πρόσβαση σε δεδομένα σε ευάλωτους διακομιστές και να εκτελούν αυθαίρετες εντολές CLI υπό ορισμένες συνθήκες.
Το πρώτο ελάττωμα, που αξιολογήθηκε ως κρίσιμο, είναι το CVE-2024-23897, επιτρέποντας σε μη επαληθευμένους εισβολείς με άδεια «συνολικής/ανάγνωσης» να διαβάζουν δεδομένα από αυθαίρετα αρχεία στον διακομιστή Jenkins.
Οι εισβολείς χωρίς αυτήν την άδεια μπορούν ακόμα να διαβάσουν τις πρώτες λίγες γραμμές αρχείων, με τον αριθμό να εξαρτάται από τις διαθέσιμες εντολές CLI.
Το ελάττωμα προέρχεται από την προεπιλεγμένη συμπεριφορά του
args4j
αναλυτής εντολών στο Jenkins, ο οποίος επεκτείνει αυτόματα τα περιεχόμενα του αρχείου σε ορίσματα εντολών όταν ένα όρισμα ξεκινά με τον χαρακτήρα “@”, επιτρέποντας τη μη εξουσιοδοτημένη ανάγνωση αυθαίρετων αρχείων στο σύστημα αρχείων του ελεγκτή Jenkins.
Ο Sonar εξήγησε ότι η εκμετάλλευση του συγκεκριμένου ελαττώματος θα μπορούσε να οδηγήσει σε κλιμάκωση των προνομίων διαχειριστή και αυθαίρετη απομακρυσμένη εκτέλεση κώδικα. Αυτό το βήμα, ωστόσο, εξαρτάται από ορισμένες προϋποθέσεις που πρέπει να πληρούνται, οι οποίες είναι διαφορετικές για κάθε παραλλαγή επίθεσης.
Διάγραμμα εκμετάλλευσης
(SonarSource)
Το δεύτερο ελάττωμα, που παρακολουθείται ως CVE-2024-23898, είναι ένα ζήτημα παραβίασης του WebSocket μεταξύ τοποθεσιών όπου οι εισβολείς μπορούσαν να εκτελέσουν αυθαίρετες εντολές CLI εξαπατώντας έναν χρήστη να κάνει κλικ σε έναν κακόβουλο σύνδεσμο.
Αυτός ο κίνδυνος που προκύπτει από αυτό το
σφάλμα
θα πρέπει να μετριαστεί από τις υπάρχουσες προστατευτικές πολιτικές στα προγράμματα περιήγησης ιστού, αλλά παραμένει λόγω της έλλειψης καθολικής επιβολής αυτών των πολιτικών.
Το SonarSource ανέφερε τα ελαττώματα στην ομάδα ασφαλείας Jenkins στις 13 Νοεμβρίου 2023 και βοήθησε στην επαλήθευση των επιδιορθώσεων τους επόμενους μήνες.
Στις 24 Ιανουαρίου 2024, ο Jenkins κυκλοφόρησε διορθώσεις για τα δύο ελαττώματα με τις εκδόσεις 2.442 και LTS 2.426.3 και
δημοσίευσε μια συμβουλευτική
που μοιράζεται διάφορα σενάρια επιθέσεων και διαδρομές εκμετάλλευσης, καθώς και διορθώνει περιγραφές και πιθανές λύσεις για όσους δεν μπορούν να εφαρμόσουν τις ενημερώσεις ασφαλείας.
Διαθέσιμες εκμεταλλεύσεις
Με άφθονες πληροφορίες σχετικά με τα ελαττώματα του Jenkins τώρα διαθέσιμες, πολλοί ερευνητές αναπαρήγαγαν μερικά από τα σενάρια επίθεσης και δημιούργησαν λειτουργικά εκμεταλλεύσεις PoC που δημοσιεύτηκαν στο GitHub.
Τα PoC προορίζονται για το CVE-2024-23897, το οποίο παρέχει στους εισβολείς απομακρυσμένη εκτέλεση κώδικα σε μη επιδιορθωμένους διακομιστές Jenkins.
Πολλά από αυτά τα PoC έχουν ήδη
επικυρώθηκε
έτσι οι εισβολείς που σαρώνουν για εκτεθειμένους διακομιστές μπορούν να αρπάξουν τα σενάρια και να τα δοκιμάσουν με ελάχιστη ή καμία τροποποίηση.
Μερικοί ερευνητές
κανω ΑΝΑΦΟΡΑ
ότι τα honeypot Jenkins τους έχουν ήδη πιάσει δραστηριότητα στη φύση, υποδηλώνοντας ότι οι χάκερ έχουν αρχίσει να εκμεταλλεύονται τα
τρωτά σημεία
.
VIA:
bleepingcomputer.com
