Jenkins ซอฟต์แวร์อัตโนมัติสำหรับ continuous integration/continuous delivery and deployment (CI/CD) ได้แก้ไขข้อบกพร่องด้านความปลอดภัย 9 ประการ รวมถึงข้อบกพร่องร้ายแรงที่อาจส่งผลให้เกิดการเรียกใช้โค้ดจากระยะไกล (RCE) ได้
ปัญหานี้ได้รับหมายเลข CVE คือ CVE-2024-23897 โดยได้รับการอธิบายว่าเป็นช่องโหว่ในการอ่านไฟล์ได้ตามอำเภอใจผ่านทาง command line interface (CLI) บน Jenkins Server
ผู้ดูแลกล่าวเมื่อวันพุธที่ผ่านมาว่า "Jenkins ใช้ไลบรารี args4j สำหรับ parse command arguments บน Jenkins Controller สั่งการผ่าน CLI commands"
"ตัว parser ในคำสั่งนี้มีลักษณะการทำงานโดยแทนที่อักขระ @ ตามด้วย path ผ่าน CLI argument เพื่อไปอ่าน File contents บน jenkins server (expandAtFiles) ซึ่งลักษณะของการทำงานแบบนี้ถูกเปิดใช้งานตั้งแต่ต้นโดยถูกตั้งค่าเป็นค่าเริ่มต้น (Enable by Default) บน Jenkins เวอร์ชันก่อนหน้าจนถึงเวอร์ชัน 2.441 และเวอร์ชันก่อนหน้าจนถึงเวอร์ชัน LTS 2.426.2"
ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากลักษณะการทำงานเฉพาะในลักษณะแบบนี้เพื่ออ่านไฟล์บนระบบ Jenkins ไฟล์คอนโทรลเลอร์ได้โดยใช้วิธีการตามที่เปิดเผยไว้
แม้ว่าผู้โจมตีที่มีสิทธิ์ "Overall/Read" หมายความว่าจะสามารถอ่านไฟล์ทั้งหมดได้ แต่ไม่มีสิทธิ์ที่จะสามารถอ่านสามบรรทัดแรกของไฟล์ได้ ทั้งนี้ขึ้นอยู่กับคำสั่ง CLI commands
นอกจากนี้ ข้อบกพร่องนี้ยังสามารถใช้ติดเป็นอาวุธ (weaponized) ในการอ่านไฟล์ไบนารี่ที่มีคีย์เข้ารหัสได้ แม้ว่าจะมีข้อจำกัดบางประการก็ตาม โดยหากสามารถดึง binary secrets ออกมาได้
ซึ่งทาง Jennkins กล่าวว่ามันสามารถประตูสู่การโจมตีต่างๆ ได้แก่
นักวิจัยด้านความปลอดภัยชื่อ Yaniv Nizry ได้รับเครดิตในการค้นพบและรายงานข้อบกพร่องนี้
ซึ่งช่องโหว่นี้ได้รับการแก้ไขใน
Jenkins เวอร์ชัน 2.442 และ LTS 2.426.3
โดยการแก้ไขนั้นเป็นการปิดใช้งานคุณสมบัติ command parser
อ้างอิง Critical Jenkins Vulnerability Exposes Servers to RCE Attacks - Patch ASAP! (thehackernews.com)
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว