Jenkins açık kaynak otomasyon sunucusunda, hedeflenen sistemlerde kod yürütülmesine yol açabilecek bir çift ciddi güvenlik açığı açıklandı.
İzlenen kusurlar CVE-2023-27898 Ve CVE-2023-27905Jenkins sunucusunu ve Güncelleme Merkezini etkiler ve toplu olarak vaftiz edilmiştir çekirdek veba bulut güvenlik firması Aqua tarafından. 2.319.2’den önceki Jenkins sürümlerinin tüm sürümleri savunmasızdır ve kötüye kullanılabilir.
Şirketten yapılan açıklamada, “Bu güvenlik açıklarından yararlanmak, kimliği doğrulanmamış bir saldırganın kurbanın Jenkins sunucusunda rastgele kod yürütmesine izin verebilir ve potansiyel olarak Jenkins sunucusunun tamamen ele geçirilmesine yol açabilir” dedi. rapor The Hacker News ile paylaştı.
Eksiklikler, Jenkins’in şu adreste bulunan eklentileri nasıl işlediğinin sonucudur: Güncelleme Merkeziböylece potansiyel olarak bir tehdit aktörünün kötü amaçlı bir yük içeren bir eklenti yüklemesine ve siteler arası komut dosyası çalıştırma (XSS) saldırısını tetiklemesine olanak tanır.
“Kurban bir kez açtığında”Mevcut Eklenti YöneticisiJenkins sunucularında XSS tetiklenir ve saldırganların Jenkins Sunucusunda rasgele kod çalıştırmasına izin verir. Komut Dosyası Konsolu API’sı” dedi Aqua.
Aynı zamanda, JavaScript kodunun sunucuya enjekte edildiği depolanmış bir XSS durumu olduğundan, güvenlik açığı, eklentiyi yüklemeye veya hatta ilk etapta eklentinin URL’sini ziyaret etmeye gerek kalmadan etkinleştirilebilir.
Sorunlu bir şekilde, kusurlar kendi kendine barındırılan Jenkins sunucularını da etkileyebilir ve halka açık Jenkins Güncelleme Merkezi “saldırganlar tarafından enjekte edilebileceğinden” sunucunun internet üzerinden herkese açık olarak erişilemediği senaryolarda bile kullanılabilir.
Ancak saldırı, hileli eklentinin Jenkins sunucusuyla uyumlu olması ve “Mevcut Eklenti Yöneticisi” sayfasındaki ana beslemenin üstünde görünmesi ön koşuluna dayanıyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Aqua, “açıklamada gömülü tüm eklenti adlarını ve popüler anahtar kelimeleri içeren bir eklenti yükleyerek” veya sahte örneklerden istekler göndererek eklentinin indirme sayısını yapay olarak artırarak hile yapılabileceğini söyledi.
24 Ocak 2023’teki sorumlu açıklamanın ardından, yamalar Jenkins tarafından aşağıdakiler için yayınlandı: Güncelleme Merkezi Ve sunucu. Kullanıcıların, olası riskleri azaltmak için Jenkins sunucularını mevcut en son sürüme güncellemesi önerilir.
