Popüler bir açık kaynaklı otomasyon sunucusu olan Jenkins’te, saldırganların Jenkins denetleyici dosya sisteminden keyfi dosyaları okumasına ve potansiyel olarak uzaktan kod yürütmeye (RCE) yol açabilecek bir çift güvenlik açığı keşfedildi.
Jenkins, kod oluşturma, test etme ve dağıtma dahil olmak üzere yazılım geliştirme yaşam döngüsünü otomatikleştiren popüler bir açık kaynaklı otomasyon sunucusudur. Kodu derler ve yürütülebilir dosyalara paketler, böylece geliştiricilerin otomatik testler çalıştırmasını ve kodlarının beklendiği gibi çalışmasını sağlar. Ardından, kodu otomatik olarak üretim ortamlarına dağıtır.
Uzaktan Kod Yürütme, bir saldırganın fiziksel erişim olmadan sunucu veya bilgisayar gibi uzak bir sistemde keyfi kod yürütmesine izin veren bir güvenlik açığı türüdür. Bu, yetkisiz erişime, veri hırsızlığına ve sistem ihlaline yol açabilir.
Jenkins güvenlik açığı bağlamında, RCE bir saldırganın Jenkins sunucusunda kötü amaçlı kod çalıştırmasına olanak tanıyabilir ve bu da potansiyel olarak sistemin tamamının ele geçirilmesine yol açabilir.
Keyfi Dosya Okuma Güvenlik Açığı (CVE-2024-43044)
SECURITY-3430 olarak tanımlanan ilk güvenlik açığı, Jenkins 2.470 ve önceki sürümleri ile LTS 2.452.3 ve önceki sürümleri etkiler. Sorun, aracıların denetleyiciden sınıfları ve kaynakları yüklemesine izin veren Uzaktan Erişim kitaplığında yatmaktadır.
Kütüphanenin uygulanması ClassLoaderProxy#fetchJar Ajanların denetleyici dosya sisteminden okumak için talep edebilecekleri yolları kısıtlamaz ve böylece Ajan/Bağlantı iznine sahip saldırganların keyfi dosyaları okumasına olanak tanır.
Jenkins, “Bu kritik bir güvenlik açığıdır çünkü elde edilen bilgiler uzaktan kod yürütme (RCE) dahil olmak üzere erişimi artırmak için kullanılabilir.” dedi.
Daniel Beck, CloudBees, Inc., SECURITY-3349 için bu açığı keşfetti ve kritik olarak kabul ediliyor, çünkü elde edilen bilgiler RCE’ye kadar erişimi artırmak için kullanılabilir. Jenkins projesi, 2.471, LTS 2.452.4 ve LTS 2.462.1 sürümlerinde bu açık için bir düzeltme yayınladı.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download
Eksik İzin Kontrolü Güvenlik Açığı (CVE-2024-43045)
SECURITY-3349 olarak tanımlanan ikinci güvenlik açığı ise Jenkins 2.470 ve önceki sürümleri ile LTS 2.452.3 ve önceki sürümleri etkiliyor.
Sorun, izin kontrolü yapmayan bir HTTP uç noktasında yatmaktadır. Bu, Genel/Okuma iznine sahip saldırganların diğer kullanıcıların “Görünümlerim”e erişmesine olanak tanır. Genel Görüntüle/Yapılandır ve Görüntüle/Sil izinlerine sahip saldırganlar ayrıca diğer kullanıcıların “Görünümlerim”i değiştirebilir.
Jiangchenwei (Nebulalab) ve Yangyue (Nebulalab) bu güvenlik açığını SECURITY-3430 için keşfetti. Orta şiddette kabul edilir ve Jenkins 2.471, LTS 2.452.4 ve LTS 2.462.1 sürümlerinde düzeltilmiştir.
Güvenlik açıklarını gidermek için Jenkins kullanıcılarının kurulumlarını en son sürümlere güncellemeleri önerilir. Özellikle Jenkins weekly’nin 2.471 sürümüne güncellenmesi gerekirken Jenkins LTS’nin 2.452.4 veya 2.462.1 sürümüne güncellenmesi gerekir.
Bu güncellenmiş sürümler yukarıda açıklanan güvenlik açıklarına yönelik düzeltmeleri içermektedir ve aksi belirtilmediği sürece önceki tüm sürümlerin etkilendiği kabul edilmektedir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access