I den värld av programutveckling är Jenkins mycket populärt. Det är en öppen programvaruserver som faller under kategorierna Continuous Integration (CI) och Continuous Deployment (CD). Jenkins spelar en avgörande roll för att automatisera olika stadier av programvaruutvecklingsprocessen, såsom byggande, testning och distribution av applikationer. Dess stöd för över tusen integrerade tillägg gör det till ett verktyg som används av företag av olika storlekar.
Nyligen upptäckte forskare från SonarSource två betydande sårbarheter i Jenkins som tillåter angripare att få åtkomst till data på sårbara servrar och utföra godtyckliga kommandoradssnitt (CLI) -kommandon under vissa förhållanden. Den mer allvarliga sårbarheten, identifierad som CVE-2024-23897, tillåter angripare att läsa data från alla filer på Jenkins-servrar utan autentisering. Även angripare utan privilegier kan läsa de första raderna i filer, och antalet rader beror på tillgängliga CLI-kommandon. Denna brist härstammar från standardbeteendet hos args4j-kommandoanalytikern i Jenkins, som automatiskt expanderar filinnehållet som kommandoargument om argumentet börjar med symbolen ”@”.
Den andra sårbarheten, spårade som CVE-2024-23898, innebär WebSocket-kapning genom en cross-site attack, vilket gör att angripare kan exekvera godtyckliga CLI-kommandon genom att lura användare och locka dem att klicka på en skadlig länk.
SonarSource rapporterade båda sårbarheterna till Jenkins säkerhetsteam den 13 november 2023 och hjälpte till med att verifiera lösningarna de kommande månaderna. Jenkins släppte uppdateringar som åtgärdar båda sårbarheterna med versioner 2.442 och LTS 2.426.3. De publicerade också en varning som innehåller olika attackscenarier, beskrivningar av lösningarna och möjliga workarounds för dem som inte kan tillämpa uppdateringarna.
Tyvärr har många av dessa sårbarheter redan verifierats av forskare som har publicerat beviskoncept (PoC)-skript på GitHub-plattformen, på grund av det omfattande utbudet av information om dessa sårbarheter. Angripare som skannar Jenkins-servrar kan nu hitta dessa skript och försöka använda dem med små eller inga ändringar. Vissa forskare rapporterar att deras Jenkins ”honeypots” redan har registrerat live attackaktivitet, vilket tyder på att hackare har börjat utnyttja dessa sårbarheter.
Vanliga frågor:
The source of the article is from the blog kewauneecomet.com