Nemrégiben számos proof-of-concept (PoC) kiaknázási lehetőség jelent meg a Jenkinsben nemrégiben javított kritikus sérülékenység (CVE-2024-23897) kapcsán. Bizonyítékok vannak annak kihasználására termelési környezetekben is.
CVE-2024-23897:
A Jenkins egy széles körben használt, Java-alapú automatizálási szerver, amely segít a fejlesztőknek a programok építésében, tesztelésében és telepítésében, folyamatos integrációt (CI) és folyamatos szállítást (CD) tesz lehetővé. A CVE-2024-23897 egy sebezhetőség, amely lehetővé teszi az engedélyekkel nem rendelkező támadóknak, hogy az Overall/Read jogosultságaikkal bármilyen fájlt elolvassanak a Jenkins CLI parancssorában, ami potenciálisan veszélyezteti a Jenkinsben tárolt érzékeny információkat.
Ez a sebezhetőség használható továbbá cryptográfiai kulcsokat tartalmazó bináris fájlok olvasására is, amelyeket különböző Jenkins funkciókban használnak (bizonyos korlátokkal). A bizalmas információkhoz való hozzáférés lehetővé teszi:
– Távoli kódvégrehajtást a forráskiadó URL-ek használatával
– Távoli kódvégrehajtást a „Remember me” sütik használatával
– Távoli kódvégrehajtást XSS támadások révén a build naplók segítségével
– Távoli kódvégrehajtást a CSRF védelem kijátszásával
– Bizalmas információk titkosításának visszafejtését a Jenkinsben tároltak között
– Bármely elem törlését a Jenkinsben
– Java heap dump letöltését
A Jenkins továbbá közzétette a CVE-2024-23898 sebezhetőséget is, amely a WebSocket átvételére vonatkozik a webhelyek között. Ez komoly fenyegetést jelent, és lehetővé teszi a támadóknak, hogy tetszőleges CLI parancsokat hajtsanak végre azzal, hogy a célpontot ráveszik egy ártalmas linkre való kattintásra. Mindkét sebezhetőséget a SonarSource Vulnerability Research csapat jelentette és írta le.
Nyilvános kihasználások:
A CVE-2024-23897 PoC publikus kiadása (1, 2) lehetőséget nyújt a támadóknak, hogy kihasználják a nem javított Jenkins szervereket. Továbbá jelentések érkeznek arról, hogy ezt a sebezhetőséget termelési környezetekben is kihasználják.
Mindkét sérülékenységet javították a Jenkins 2.442 és a LTS 2.426.3 verzióiban, ezért erősen ajánlott a felhasználóknak, hogy mielőbb alkalmazzák a javítást. Alternatív megoldások is elérhetőek.
GY.I.K. szekció a cikkben bemutatott kulcsfontosságú témák és információk alapján:
1. Mi a Jenkins?
A Jenkins egy népszerű, Java-alapú automatizálási szerver, amely segíti a fejlesztőket az alkalmazások építésében, tesztelésében és telepítésében folyamatos integráció (CI) és folyamatos szállítás (CD) által.
2. Mi a CVE-2024-23897 sebezhetőség a Jenkinsben?
A CVE-2024-23897 egy sebezhetőség, amely lehetővé teszi a jogosulatlan felhasználóknak, akik rendelkeznek Overall/Read jogosultságokkal, hogy az olvassanak bármilyen fájlt a Jenkins vezérlő fájlrendszerében a Jenkins CLI parancssorán keresztül. A megfelelő jogosultságok nélküli felhasználók csak az adott fájl első néhány sorát olvashatják.
3. Milyen potenciális fenyegetések kapcsolódnak ehhez a sebezhetőséghez?
Ez a sebezhetőség lehetővé teszi a távoli kódvégrehajtást a forráskiadó URL-ek használatával, a távoli kódvégrehajtást a „Remember me” cookie-k használatával, a távoli kódvégrehajtást XSS támadások révén a build naplókon keresztül, a távoli kódvégrehajtást a CSRF védelem kijátszásával, a a Jenkinsben tárolt bizalmas információk titkosításának visszafejtését, bármely elem törlését a Jenkinsben, és a Java heap dump letöltését.
4. Mi a CVE-2024-23898 sebezhetőség a Jenkinsben?
A CVE-2024-23898 sebezhetőség a WebSocket átvételével kapcsolatos, ami lehetővé teszi, hogy az ártószándékú felhasználók tetszőleges CLI parancsokat hajtsanak végre, ha sikerül ráveszniük az áldozatot egy ártó szándékú linkre való kattintásra.
5. Ki jelentette ezeket a sebezhetőségeket?
Mindkét sebezhetőséget a SonarSource Vulnerability Research csapata jelentette és írta le.
6. Vannak-e valós kihasználási bizonyítékok ezekre a sebezhetőségekre?
Igen, a CVE-2024-23897 sebezhetőség proof-of-concept (PoC) kiaknázási lehetőségei nyilvánosan elérhetőek, és a támadók használhatják, hogy kihasználják a nem javított Jenkins szervereket. Jelentések érkeztek arról is, hogy ezt a sebezhetőséget termelési környezetekben kihasználják.
7. Melyek a javasolt Jenkins verziók, ahol a javítások megvalósultak ezekre a sebezhetőségekre?
A sérülékenységeket a Jenkins 2.442 és az LTS 2.426.3 verzióiban javították. A Jenkins felhasználóinak erősen ajánlott, hogy mielőbb alkalmazzák a javítást, vagy használják az elérhető alternatív megoldásokat.
8. Vannak-e kapcsolódó linkek?
További információkat találhat a Jenkinsről a hivatalos webhelyen: https://jenkins.io/.
9. Található-e erről a témáról más cikk?
Ezen a témán nincs másik cikk, és a sérülékenységekkel kapcsolatos részleteket az eredeti cikkben találhatók.
The source of the article is from the blog meltyfan.es