Jenkins, sürekli entegrasyon ve sürekli teslimat süreçleri için kullanılan Java tabanlı açık kaynaklı bir otomasyon sunucusudur. Tehdit aktörleri, yazılım geliştirme kanallarında yaygın kullanımı nedeniyle Jenkins’i hedef alıyor.
Yaygın kullanımı, tehdit aktörlerine güvenlik açıklarından yararlanma ve hassas verilere yetkisiz erişim sağlama fırsatı sunarak, yazılım geliştirme iş akışlarını potansiyel olarak kesintiye uğratmalarına ve tehlikeye atmalarına olanak tanır.
Yakın zamanda Jenkins’teki araştırmacı ekibi, Jenkins’te CVSS puanı 9,8 olan ve tehdit aktörlerinin uzaktan kod yürütmesine olanak tanıyan “CVE-2024-23897” olarak takip edilen kritik bir güvenlik açığını ortaya çıkardı.
Kusur Profili
- CVE Kimliği: CVE-2024-23897
- CVSS puanı: 9.8
- Şiddet: KRİTİK
- Açıklamalar: CLI aracılığıyla rastgele dosya okuma güvenlik açığı RCE’ye yol açabilir
- GÜVENLİK-3314
Kritik Jenkins Güvenlik Açığı
Jenkins güvenlik açığı, CLI’deki 2.441 ve önceki sürümleri etkileyen, varsayılan olarak etkin olan ‘expandAtFiles’ ayrıştırıcı özelliğinden kaynaklanmaktadır.
Rastgele bir dosyanın kullanılması sorunu okur ve ardından saldırganlar args4j kitaplığı aracılığıyla dosya sistemine erişebilir ve bu da potansiyel olarak sistemin güvenliğini tehlikeye atar.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
CVE-2023-23897, Genel/Okuma izni sahiplerinin tüm dosyaları okumasına izin verirken, diğerleri CLI komutlarına dayalı olarak ilk birkaç satıra erişebilir.
İkili dosyaların kriptografik anahtarlarla okunması kısıtlamalarla mümkündür. Jenkins, yürütülmek üzere ikili dosyalardan kriptografik anahtarlara erişim gerektiren potansiyel RCE saldırılarına karşı uyarıyor.
Jenkins ekibi, son sürümlerdeki ilk üç satırı eklentiler olmadan okumanın bir yolunu buldu. Ancak şu anda tanımlanan hiçbir eklenti bu satır sayısını artırmıyor.
Doğrulanan saldırılar arasında bilinen bir yola sahip tüm dosyaların okunması ve saldırganların ikili dosyalardan kriptografik anahtarlar alma yeteneğinden faydalanılması yer alıyor.
Yetenekler
Aşağıda, bu kritik kusurun saldırganlara sağladığı tüm yeteneklerden bahsettik: –
- Kaynak Kök URL’leri aracılığıyla uzaktan kod yürütme
- “Beni hatırla” çerezi aracılığıyla uzaktan kod yürütme
- Derleme günlükleri aracılığıyla depolanan siteler arası komut dosyası çalıştırma (XSS) saldırıları yoluyla uzaktan kod yürütme
- CSRF koruma bypass’ı aracılığıyla uzaktan kod yürütme
- Jenkins’te saklanan sırların şifresini çözün
- Jenkins’teki herhangi bir öğeyi silin
- Java yığın dökümü indirme
Bunun yanı sıra, okuma başarısı, okunamayan baytların yarısını değiştiren UTF-8 ile kodlamaya dayanır ve bu da saldırganların işini zorlaştırır.
Windows-1252, 256 değerden yalnızca 5’inin yerini alarak seçenekleri önemli ölçüde azaltır. Riskleri azaltmak amacıyla Jenkins’i hızlı bir şekilde belirlemek ve güncellemek için Jenkins Yönetimi > Sistem Bilgisi bölümünde file.encoding değerini kontrol ettiğinizden emin olun.
Tespit Edilen Diğer Kusurlar
Aşağıda, tespit edilen diğer tüm güvenlik açıklarından bahsettik: –
- CVSS 8.8’e sahip CVE-2024-23898, CLI’de siteler arası WebSocket ele geçirme güvenlik açığıdır.
- CVSS 8.8’e sahip CVE-2024-23899, Git sunucusu Eklentisindeki rastgele bir dosya okuma güvenlik açığıdır ve RCE’ye yol açabilir.
- CVSS 8.0’a sahip CVE-2023-6148, Qualys Politika Uyumluluğu Tarama Bağlayıcı Eklentisinde depolanan bir XSS güvenlik açığıdır.
- CVSS 8.0’a sahip CVE-2024-23905, Red Hat Dependency Analytics Eklentisi tarafından devre dışı bırakılan kullanıcı içeriğine yönelik bir içerik Güvenlik Politikası korumasıdır.
- CVSS 7.5’e sahip CVE-2024-23904, Log Command Eklentisindeki rastgele bir dosya okuma güvenlik açığıdır.
- CVSS 7.1’e sahip CVE-2023-6147, Qualys Politika Uyumluluğu Tarama Bağlayıcı Eklentisindeki bir XXE güvenlik açığıdır.
Jenkins 2.442/LTS 2.426.3’te CVE-2024-23897 güvenlik açığı, komut ayrıştırıcının devre dışı bırakılmasıyla düzeltildi. Yöneticiler hudson.cli.CLICommand.allowAtSyntax’ı true olarak ayarlayarak geri alabilirler ancak bu özellikle açık ağlar için önerilmez.
Ancak yönetici Jenkins’i şu anda güncelleyemiyorsa geçici çözüm olarak CLI erişimini geçici olarak engelleyebilir.