Több PoC exploitot hoztak létre a Jenkins kritikus sebezhetőségének kihasználására, amelyek lehetővé teszik a hitelesítés nélküli támadók számára, hogy tetszőleges fájlokat olvassanak. Néhány kutató arról számolt be, hogy a támadók aktívan kihasználják a hibákat támadásokban.
A Jenkins egy nyílt forráskódú automatizálási kiszolgáló, amelyet széles körben használnak a szoftverfejlesztésben, a folyamatos integráció (CI) és a folyamatos telepítés (CD) területén. Szerepet játszik a szoftverfejlesztési folyamat különböző részeiben, például az alkalmazások készítésében, tesztelésében és telepítésének automatizálásában. Több mint ezer integrációs bővítményt támogat, és sok szervezet használja, köztük a nagyvállalatok is.
A kutatók két olyan hibát fedeztek fel a Jenkinsben, amelyek lehetővé teszik a támadók számára a sebezhető szervereken lévő adatokhoz való hozzáférést és tetszőleges CLI parancsok végrehajtását.
Az első, kritikusnak minősített hiba a CVE-2024-23897 a Jenkins args4j parancselemzőjének alapértelmezett viselkedéséből származik, amely automatikusan parancsargumentumokká bővíti a fájlok tartalmát, ha egy argumentum „@” karakterrel kezdődik, lehetővé téve a Jenkins vezérlő fájlrendszerében lévő tetszőleges fájlok jogosulatlan olvasását.
A hiba kihasználása adminisztrátori jogosultságok kiterjesztéséhez és tetszőleges távoli kódfuttatáshoz vezethet. Ez azonban bizonyos feltételektől függ, amelyeknek teljesülniük kell, és amelyek minden támadási variáns esetében eltérőek.
A második hiba, amelyet CVE-2024-23898 néven követnek nyomon, egy cross-site WebSocket hijacking probléma, amelynek során a támadók tetszőleges CLI parancsokat hajthatnak végre, ha a felhasználók egy rosszindulatú linkre kattintanak. Ezt a webböngészőkben meglévő védelmi szabályoknak mérsékelniük kellene, de a hiba miatt ezek a szabályok nem érvényesülnek általánosan.
2024. január 24-én a Jenkins kiadta a két hiba javítását a 2.442-es és az LTS 2.426.3-as verzióval, és közzétett egy tanácsadást a különböző támadási forgatókönyvekkel és kihasználásokkal, valamint a javítások leírását és a lehetséges megoldásokat azok számára, akik nem tudják alkalmazni a biztonsági frissítéseket.
Mivel a hibákról már bőséges információ áll rendelkezésre, számos kutató reprodukálta a támadási forgatókönyvek egy részét, és működő PoC exploitokat hozott létre. A PoC-k a CVE-2024-23897-re vonatkoznak. Ezek közül sok már validálva lett, így a veszélyeztetett szervereket kereső támadók minimális módosítással vagy módosítás nélkül használhatják a szkripteket.
Egyes kutatók arról számoltak be, hogy a Jenkins honeypotjaik már észleltek káros tevékenységet, ami arra utal, hogy a hackerek már elkezdték kihasználni a sebezhetőségeket.
