Açık kaynaklı bir otomasyon sunucusu olan Jenkins’in iki güvenlik sorunu olduğu tespit edildi; bunlardan biri, istismar edilmesi halinde uzaktan kod yürütmeye (RCE) yol açabilecek kritik bir kusur.
Bir saldırgan, Jenkins denetleyici dosya sisteminden rastgele dosyaları okuyabilir ve bu da gizli verileri ifşa edebilir veya daha fazla istismara kapı açabilir.
Jenkins Güvenlik Danışma Bülteni’nde, “Bu kritik bir güvenlik açığıdır çünkü elde edilen bilgiler uzaktan kod yürütme (RCE) dahil olmak üzere erişimi artırmak için kullanılabilir” ifadesi yer alıyor.
Güvenlik Açığının Genel Görünümü
Kritik keyfi dosya okuma güvenlik açığı, Agent/Connect iznine, ajan işlemlerine ve ajanlarda yürütülen koda sahip saldırganların Jenkins denetleyici dosya sisteminden keyfi dosyaları okumasına olanak tanıyan CVE-2024-43044 olarak tanımlanıyor.
Jenkins, denetleyici ile aracılar arasındaki iletişimi kolaylaştırmak için Remoting kütüphanesini kullanır; bu kütüphane genellikle agent.jar veya remoting.jar’dır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Ajanların denetleyici tarafından gönderilen Java nesnelerini (derleme adımları vb.) yürütmesi için bu kütüphane, ajanların denetleyiciden sınıfları ve sınıf yükleyici kaynaklarını yüklemesini sağlar.
Jenkins eklentileri, Channel#preloadJar API’sini kullanarak, bireysel sınıf ve kaynak dosyalarına ek olarak, aracılara komple jar dosyalarını göndermek için Uzaktan Erişim’i kullanabilir.
Uzaktan Erişim kütüphanesindeki `ClassLoaderProxy#fetchJar} metodunu kullanarak, aracı işlemler Jenkins 2.470 ve öncesinde ve LTS 2.452.3 ve öncesinde Jenkins denetleyici dosya sisteminden rastgele dosyaları okuyabilir.
Bu konu Yangyue ve Jiangchenwei (Nebulalab) tarafından bildirildi.
Ayrıca, orta düzeyde bir Eksik izin kontrolü güvenlik açığı da CVE-2024-43045 olarak belirlendi.
HTTP uç noktası izin denetimi gerçekleştirmediğinden, Genel/Okuma iznine sahip saldırganlar, Jenkins 2.470 ve daha eski sürümlerin yanı sıra LTS 2.452.3 ve daha eski sürümleri kullanarak diğer kullanıcıların “Görünümlerim”ini okuyabilir.
“Bu, Genel/Okuma iznine sahip saldırganların diğer kullanıcıların “Görünümlerim”ine erişmesine olanak tanır. Küresel Görüntüle/Yapılandır ve Görüntüle/Sil izinlerine sahip saldırganlar ayrıca diğer kullanıcıların “Görünümlerim”ini değiştirebilir, uyarıda okunuyor.
Jenkins 2.471, LTS 2.452.4 ve LTS 2.462.1’de bir kullanıcının “Görünümlerim” bölümüne erişim yalnızca sahibi olan kullanıcı ve yöneticilerle sınırlıdır.
Bu sorun CloudBees, Inc.’den Daniel Beck tarafından bildirildi.
Etkilenen Sürümler
- Jenkins haftalık 2.470’e kadar
- Jenkins LTS 2.452.3’e kadar
Mevcut Düzeltmeler
- Jenkins haftalık olarak 2.471 sürümüne güncellenmelidir
- Jenkins LTS’nin 2.452.4 veya 2.462.1 sürümüne güncellenmesi gerekiyor
Tüm önceki sürümlerin bu güvenlik açıklarından etkilendiği düşünülmektedir. Bu nedenle, olası risklerden kaçınmak için en son sürüme güncelleme yapılması önerilir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download