Kritik Jenkins Güvenlik Açığı, Sunucuları RCE Saldırılarına Maruz Bırakıyor


25 Ocak 2024Haber odasıGüvenlik Açığı / Yazılım Güvenliği

Kritik Jenkins Güvenlik Açığı

Açık kaynaklı sürekli entegrasyon/sürekli dağıtım ve dağıtım (CI/CD) otomasyon yazılımı Jenkins’in geliştiricileri, başarılı bir şekilde kullanılması halinde uzaktan kod yürütülmesine (RCE) yol açabilecek kritik bir hatanın da aralarında bulunduğu dokuz güvenlik açığını çözdü.

CVE tanımlayıcısının atandığı sorun CVE-2024-23897yerleşik komut satırı arayüzü (CLI) aracılığıyla rastgele dosya okuma güvenlik açığı olarak tanımlandı

Bakımcılar Çarşamba günkü bir danışma belgesinde “Jenkins, CLI komutlarını işlerken Jenkins denetleyicisindeki komut argümanlarını ve seçeneklerini ayrıştırmak için args4j kütüphanesini kullanıyor” dedi.

“Bu komut ayrıştırıcısı, dosya içeriğiyle (expandAtFiles) bir bağımsız değişkende @ karakterini ve ardından bir dosya yolunu değiştiren bir özelliğe sahiptir. Bu özellik varsayılan olarak etkindir ve Jenkins 2.441 ve öncesi, LTS 2.426.2 ve öncesi onu devre dışı bırakmaz. “

Siber güvenlik

Bir tehdit aktörü, Jenkins denetleyici işleminin varsayılan karakter kodlamasını kullanarak Jenkins denetleyici dosya sistemindeki rastgele dosyaları okumak için bu tuhaflıktan yararlanabilir.

“Genel/Okuma” iznine sahip saldırganlar dosyaların tamamını okuyabilirken, bu izni olmayanlar CLI komutlarına bağlı olarak dosyaların ilk üç satırını okuyabilir.

Ek olarak, bu eksiklik, belirli kısıtlamalara rağmen, kriptografik anahtarlar içeren ikili dosyaların okunması için silah haline getirilebilir. Jenkins, ikili sırların çıkarılabilmesi durumunda bunun çeşitli saldırılara kapı açabileceğini söylüyor:

  • Kaynak Kök URL’leri aracılığıyla uzaktan kod yürütme
  • “Beni hatırla” çerezi aracılığıyla uzaktan kod yürütme
  • Derleme günlükleri aracılığıyla depolanan siteler arası komut dosyası çalıştırma (XSS) saldırıları yoluyla uzaktan kod yürütme
  • CSRF koruma bypass’ı aracılığıyla uzaktan kod yürütme
  • Jenkins’te saklanan sırların şifresini çözün
  • Jenkins’teki herhangi bir öğeyi silin
  • Java yığın dökümü indirme

Jenkins, “İkili veri içeren dosyalar okunabilirken, etkilenen özellik, denetleyici işleminin varsayılan karakter kodlamasını kullanarak bunları dizeler olarak okumaya çalışır” dedi.

Siber güvenlik

“Bu muhtemelen bazı baytların başarıyla okunamamasına ve yer tutucu değerle değiştirilmesine neden olabilir. Hangi baytların okunup okunamayacağı bu karakter kodlamasına bağlıdır.”

Güvenlik araştırmacısı Yaniv Nizry, Jenkins 2.442 ve LTS 2.426.3’te komut ayrıştırıcı özelliği devre dışı bırakılarak düzeltilen kusuru keşfetme ve raporlama konusunda itibar kazandı.

Düzeltme eki uygulanıncaya kadar kısa vadeli bir geçici çözüm olarak CLI’ye erişimin kapatılması önerilir.

Bu gelişme, Jenkins’in CorePlague (CVE-2023-27898 ve CVE-2023-27905) olarak adlandırılan ve hedeflenen sistemlerde kod yürütülmesine yol açabilecek bir çift ciddi güvenlik açığını gidermesinden neredeyse bir yıl sonra gerçekleşti.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link