Jenkins’te yakın zamanda yamalanan kritik bir güvenlik açığına (CVE-2024-23897) yönelik çeşitli kavram kanıtlama (PoC) istismarları kamuya açıklandı ve vahşi ortamda istismara dair kanıtlar var.
CVE-2024-23897 Hakkında
Jenkins, geliştiricilerin uygulamaları oluşturmasına, test etmesine ve dağıtmasına yardımcı olarak sürekli entegrasyonu (CI) ve sürekli teslimatı (CD) mümkün kılan, yaygın olarak kullanılan Java tabanlı bir açık kaynaklı otomasyon sunucusudur.
CVE-2024-23897, Jenkins’in yerleşik komut satırı arayüzünde (CLI) bulunan ve Genel/Okuma iznine sahip kimliği doğrulanmamış bir tehdit aktörünün Jenkins denetleyici dosya sistemindeki rastgele dosyaları okumasına izin verebilecek rastgele bir dosya okuma güvenlik açığıdır. Genel/Okuma iznine sahip olmayanlar dosyaların ilk birkaç satırını okuyabilir.
Québec Siber Güvenlik ve Dijital Teknoloji Bakanlığı’nda penetrasyon test uzmanı Maxime Paillé, “Bu güvenlik açığı, Jenkins denetleyicisindeki komut argümanlarını ve seçenekleri ayrıştırmak için args4j kütüphanesinin kullanılmasından kaynaklanıyor” dedi.
Güvenlik açığının, çeşitli Jenkins özellikleri için kullanılan kriptografik anahtarları içeren ikili dosyaları okumak için de (bazı sınırlamalarla) kullanılabileceğini söylüyor. Bu hassas bilgilere erişim aşağıdakilere yol açabilir:
- Kaynak Kök URL’leri aracılığıyla uzaktan kod yürütme
- “Beni hatırla” çerezi aracılığıyla uzaktan kod yürütme
- Derleme günlükleri aracılığıyla depolanan siteler arası komut dosyası çalıştırma (XSS) saldırıları yoluyla uzaktan kod yürütme
- CSRF koruma bypass’ı aracılığıyla uzaktan kod yürütme
- Jenkins’te saklanan sırların şifresinin çözülmesi
- Jenkins’teki herhangi bir öğenin silinmesi
- Java yığın dökümü indir
Jenkins ayrıca, bir tehdit aktörünün kurbanı kötü amaçlı bir bağlantıya tıklaması için kandırarak keyfi CLI komutları yürütmesine olanak tanıyan, yüksek önem derecesine sahip bir siteler arası WebSocket ele geçirme güvenlik açığı olan CVE-2024-23898’i de açıkladı.
Her iki güvenlik açığı da SonarSource’un Güvenlik Açığı Araştırma Ekibi tarafından rapor edildi (ve açıklandı).
PoC istismarları herkese açıktır
CVE-2024-23897’ye yönelik PoC’ler kamuya açıklanmıştır (1, 2) ve saldırganlar tarafından yama yapılmamış Jenkins sunucularını tehlikeye atmak için kullanılabilir.
Ayrıca var raporlar güvenlik açığının vahşi ortamda istismar edilmesi.
Her iki güvenlik açığı da Jenkins 2.442 ve LTS 2.426.3’te düzeltildi; bu nedenle Jenkins kullanıcılarının mümkün olan en kısa sürede yama yapmaları tavsiye ediliyor. Geçici çözümler de mevcuttur.