Поделиться
В популярном открытом ПО Jenkins найдена зияющая «дыра». Хакеры ее уже используют
Недавно выявленная уязвимость позволяет считывать произвольные данные из Jenkins, а вместе с другим «багом» - запускать произвольный код. Но это требует соблюдения некоторых условий.
При условии, что...
Эксперты компании SonarSource выявили две уязвимости в Jenkins, популярном сервере автоматизации для разработчиков программного обеспечения (ПО). Уязвимости позволяют считывать произвольные файлы в Jenkins, а при определенных условиях даже запускать произвольные команды CLI.
Уже известны несколько экспериментальных эксплойтов к одной из этих уязвимостей. Исследователи указывают, что эти «баги» уже использовались в кибератаках.
Jenkins - пакет с открытым кодом, который играет критическую роль на различных этапах разработки ПО, таких как сборка, тестирование и развертывание приложений. Как указывается в материале Bleeping Computer, он поддерживает более тысячи интеграционных плагинов и используется организациями всех размеров, вплоть до крупнейших корпораций.
Тем серьезнее выглядят обнаруженные уязвимости, хотя только одна из них - CVE-2024-23897 - считается критической. Этот «баг» позволяет неавторизованным злоумышленникам считывать данные из произвольных файлов на сервере Jenkins при условии, что атакующие обладают привилегиями на чтение уровня overall/read.
Те, у кого таких разрешений нет, все равно могут считывать первые несколько строчек этих файлов; количество строк зависит от доступных CLI-команд.
Проблема вызвана штатным поведением парсера (программа для сбора и систематизации информации) args4j в Jenkins, который «автоматически разворачивает содержимое файла в аргументы команды, когда аргумент начинается с символа @, что позволяет неавторизованное считывание произвольных файлов в контрольной файловой системе Jenkins».
Эксплуатация этой уязвимости может приводить к тому, что злоумышленники повысят свои привилегии до административного уровня или даже запустят произвольный код.
Это, впрочем, зависит от ряда условий, которые будут различаться в зависимости от целей атаки.
Достаточно ссылки
Вторая уязвимость - CVE-2024-23898 - открывает возможность для межсайтового перехвата WebSocket. Благодаря ей злоумышленники могут запускать произвольные CLI-команды - достаточно для этого заставить пользователя перейти по вредоносной ссылке.
Проблема не является критической: защитные механизмы веб-браузеров должны ее нейтрализовать. Однако из-за того, что эти механизмы не всегда являются обязательными, угроза от уязвимости сохраняется.
24 января разработчики Jenkins выпустили исправления к обеим уязвимостям. Пользователям пакета рекомендуется срочно обновиться до версию 2.442 и LTS 2.426.3.
Помимо самого обновления был опубликован бюллетень, описывающий различные возможные сценарии атак, описания исправлений и временных мер для тех случаев, когда установить полноценные исправления невозможно.
Естественно, сразу за этим последовали публикации экспериментальных эксплойтов со стороны сторонних специалистов по безопасности. Некоторые уже опубликованы на GitHub и являются общедоступными и валидированными.
Киберзлоумышленники, не долго думая, взялись проверять существующие установки Jenkins на прочность: об этом свидетельствуют показания ряда установленных «ловушек» (honeypots) - систем, используемых для выявления кибератак.
«Происходящее закономерно: есть уязвимость, есть информация о том, как её можно эксплуатировать, да и уязвимый продукт очень популярен», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По его словам, это создает еще больше причин для пользователей Jenkins срочно устанавливать все обновления и принимать дополнительные меры безопасности, если они не были реализованы раньше. «Jenkins - слишком лакомый кусок для хакеров, чтобы упускать возможность его атаковать», - подытожила Анастасия Мельникова.
Короткая ссылка
