แพตช์ด่วน! ช่องโหว่ RCE ระดับ Critical บน Jenkins Servers

Jenkins ซอฟต์แวร์อัตโนมัติสำหรับ continuous integration/continuous delivery and deployment (CI/CD)  ได้แก้ไขข้อบกพร่องด้านความปลอดภัย 9 ประการ รวมถึงข้อบกพร่องร้ายแรงที่อาจส่งผลให้เกิดการเรียกใช้โค้ดจากระยะไกล (RCE) ได้

 ปัญหานี้ได้รับหมายเลข CVE คือ CVE-2024-23897 โดยได้รับการอธิบายว่าเป็นช่องโหว่ในการอ่านไฟล์ได้ตามอำเภอใจผ่านทาง command line interface (CLI) บน Jenkins Server

ผู้ดูแลกล่าวเมื่อวันพุธที่ผ่านมาว่า "Jenkins ใช้ไลบรารี args4j สำหรับ parse command arguments บน Jenkins Controller สั่งการผ่าน CLI commands"

"ตัว parser ในคำสั่งนี้มีลักษณะการทำงานโดยแทนที่อักขระ @ ตามด้วย path ผ่าน CLI argument เพื่อไปอ่าน File contents บน jenkins server (expandAtFiles) ซึ่งลักษณะของการทำงานแบบนี้ถูกเปิดใช้งานตั้งแต่ต้นโดยถูกตั้งค่าเป็นค่าเริ่มต้น (Enable by Default) บน Jenkins เวอร์ชันก่อนหน้าจนถึงเวอร์ชัน 2.441 และเวอร์ชันก่อนหน้าจนถึงเวอร์ชัน LTS 2.426.2"

 

ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากลักษณะการทำงานเฉพาะในลักษณะแบบนี้เพื่ออ่านไฟล์บนระบบ Jenkins ไฟล์คอนโทรลเลอร์ได้โดยใช้วิธีการตามที่เปิดเผยไว้

แม้ว่าผู้โจมตีที่มีสิทธิ์ "Overall/Read" หมายความว่าจะสามารถอ่านไฟล์ทั้งหมดได้ แต่ไม่มีสิทธิ์ที่จะสามารถอ่านสามบรรทัดแรกของไฟล์ได้ ทั้งนี้ขึ้นอยู่กับคำสั่ง CLI commands

 นอกจากนี้ ข้อบกพร่องนี้ยังสามารถใช้ติดเป็นอาวุธ (weaponized) ในการอ่านไฟล์ไบนารี่ที่มีคีย์เข้ารหัสได้ แม้ว่าจะมีข้อจำกัดบางประการก็ตาม โดยหากสามารถดึง binary secrets ออกมาได้

ซึ่งทาง Jennkins กล่าวว่ามันสามารถประตูสู่การโจมตีต่างๆ ได้แก่

  • Remote code execution via Resource Root URLs
  • Remote code execution via "Remember me" cookie
  • Remote code execution via stored cross-site scripting (XSS) attacks through build logs
  • Remote code execution via CSRF protection bypass
  • Decrypt secrets stored in Jenkins
  • Delete any item in Jenkins
  • Download a Java heap dump

 

นักวิจัยด้านความปลอดภัยชื่อ Yaniv Nizry ได้รับเครดิตในการค้นพบและรายงานข้อบกพร่องนี้
ซึ่งช่องโหว่นี้ได้รับการแก้ไขใน
Jenkins เวอร์ชัน 2.442 และ LTS 2.426.3
โดยการแก้ไขนั้นเป็นการปิดใช้งานคุณสมบัติ command parser

 

อ้างอิง Critical Jenkins Vulnerability Exposes Servers to RCE Attacks - Patch ASAP! (thehackernews.com)

Related Posts

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

Read more

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

Read more

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว

Read more
© 2024 INFINITY. All rights reserved.
Terms of Use
Privacy Policy