Avustralya Siber Güvenlik Merkezi, Avustralyalı işletmeleri, ilk olarak geçen hafta açıklanan Jenkins sürekli entegrasyon/sürekli dağıtım yazılımındaki güvenlik açıklarını derhal düzeltmeleri konusunda uyarıyor.
Jenkins tavsiyesine göre sistemde iki güvenlik açığı bulundu: kritik dereceli CVE-2024-23897 ve yüksek dereceli CVE-2024-23897.
CVE-2024-23897, Jenkins’in komut satırı arayüzündeki (CLI) komut bağımsız değişkenlerini ve seçeneklerini ayrıştırmak için args4j kitaplığını kullanması nedeniyle ortaya çıktı.
“Bu komut ayrıştırıcısının, bir argümandaki @ karakterini ve ardından gelen dosya yolunu dosya içeriğiyle (expandAtFiles) değiştiren bir özelliği var. Bu özellik varsayılan olarak etkindir ve Jenkins 2.441 ve öncesi, LTS 2.426.2 ve öncesi onu devre dışı bırakmaz” uyarısında belirtildi.
“Bu, saldırganların Jenkins denetleyici işleminin varsayılan karakter kodlamasını kullanarak Jenkins denetleyici dosya sistemindeki rastgele dosyaları okumasına olanak tanıyor.”
Jenkins ekibi, kaynak kök URL’leri, “beni hatırla” çerezi, XSS kullanımı veya CSRF korumasının atlanması da dahil olmak üzere bunun mümkün kıldığı çok sayıda uzaktan kod yürütme (RCE) vektörü belirledi.
Saldırının etkileri arasında sırların şifresinin çözülmesi, herhangi bir öğenin silinmesi ve Jenkins denetleyici işleminin veya herhangi bir aracı işleminin Java yığın dökümlerinin indirilmesi yer alıyordu.
Kavram kanıtı kodu iki GitHub deposunda yayınlandı.
ACSC’nin uyarısı muhtemelen Shadowserver Foundation tarafından tespit edilen çok sayıda savunmasız sistemden kaynaklanmaktadır.
“Yaklaşık 45.000 açıkta kalan Jenkins örneği CVE-2024-23897’ye karşı savunmasızdır (CLI aracılığıyla rastgele dosya okuma güvenlik açığı RCE’ye yol açabilir). Shadowserver, X’te şunu yazdı: Jenkins’i çalıştırırsanız ve bizden bir uyarı alırsanız, Jenkins tavsiyelerini mutlaka okuyun.
Yüksek dereceli CVE-2024-23898, komut satırı arayüzünde siteler arası WebSocket korsanlığına olanak tanır.
Avustralya Siber Güvenlik Merkezi “aynı zamanda CVE-2024-23899, CVE-2024-23900, CVE-2024-23901, CVE-2024-23901, 2024-23902, 2024-23903, CVE-2023-6148, CVE-2023’ü de takip ediyor” -6147, CVE-2024-23905 ve CVE-2024-23904, Jenkins ürünlerini etkiliyor.”