Checkmarx ได้ออกมาแจ้งเตือนว่าพบ Jenkins Application Security Testing (AST) plugin เวอร์ชันที่เป็นอันตราย ได้ถูกเผยแพร่บน Jenkins Marketplace (more…)

CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware

CISA ได้เพิ่มช่องโหว่ remote code execution ระดับ Critical ของ Jenkins ที่กำลังถูกใช้ในการโจมตีเข้า Known Exploited Vulnerabilities Catalog พร้อมแจ้งเตือนว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีอยู่ในปัจจุบัน

(more…)

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการบน Jenkins open source automation server ที่อาจนำไปสู่การเรียกใช้งานโค้ดที่เป็นอันตรายบนระบบของเป้าหมายได้

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-27898 และ CVE-2023-27905 ส่งผลกระทบต่อกับเซิร์ฟเวอร์ Jenkins และ Update Center ทุกเวอร์ชันก่อนหน้า 2.319.2 ซึ่งบริษัทรักษาความปลอดภัยบนระบบคลาวด์ Aqua ได้ตั้งชื่อแคมเปญว่า CorePlague

โดย Aqua ระบุในรายงานว่า “การใช้ประโยชน์จากช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้คำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins ของเหยื่อ ซึ่งอาจนำไปสู่การเข้าควบคุมเซิร์ฟเวอร์ Jenkins ได้อย่างสมบูรณ์ในที่สุด"

ช่องโหว่ดังกล่าวเป็นผลมาจากวิธีการที่ Jenkins ประมวลผลปลั๊กอินที่มีใน Update Center จึงอาจทำให้ผู้ไม่หวังดีสามารถอัปโหลดปลั๊กอินที่มีเพย์โหลดที่เป็นอันตราย และทำการโจมตีแบบ cross-site scripting (XSS) ได้

"เมื่อเหยื่อเปิด 'Available Plugin Manager' บนเซิร์ฟเวอร์ Jenkins ของพวกเขา XSS จะถูกเรียกใช้งาน ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins โดยใช้ Script Console API" Aqua ระบุในรายงาน

เนื่องจาก XSS นั้นจะมีการแทรกโค้ดที่เป็น JavaScript ลงในเซิร์ฟเวอร์ของเหยื่อทำให้ช่องโหว่นี้สามารถเปิดใช้งานได้โดยไม่ต้องติดตั้งปลั๊กอิน หรือไม่ต้องไปที่ URL ของปลั๊กอินตั้งแต่แรก

ปัญหาคือช่องโหว่นี้อาจส่งผลกระทบต่อ self-hosted Jenkins เซิร์ฟเวอร์ และอาจถูกโจมตีได้แม้จะเป็นเซิร์ฟเวอร์ที่ไม่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตก็ตาม เนื่องจาก public Jenkins Update Center อาจถูกโจมตีโดยผู้ไม่หวังดี

อย่างไรก็ตาม การโจมตีนั้นขึ้นอยู่กับข้อกำหนดเบื้องต้นว่าปลั๊กอินปลอมนั้นสามารถเข้ากันได้กับเซิร์ฟเวอร์ Jenkins ของเหยื่อหรือไม่ โดยจะมีการแจ้งเตือนขึ้นในหน้าฟีดหลักว่า "Available Plugin Manager"

Aqua ระบุว่าสิ่งนี้สามารถถูกผู้ไม่หวังดีแก้ไขได้โดยการอัปโหลดปลั๊กอินยอดนิยมที่เป็นของปลอม หรืออัปโหลดปลั๊กอินปลอมที่มี Keyword ยอดนินยมในคำอธิบายเพื่อให้เหยื่อค้นหาเจอได้ง่ายขึ้น หรือการเพิ่มยอดดาวน์โหลดปลั๊กอินปลอมเพื่อให้มีความน่าเชื่อถือ

หลังจากได้มีการออกมาแสดงความรับผิดชอบในวันที่ 24 มกราคม 2023 ทาง Jenkins ได้ออกแพตช์สำหรับ Update Center และเซิร์ฟเวอร์ แนะนำให้ผู้ใช้งานอัปเดตเซิร์ฟเวอร์ Jenkins เป็นเวอร์ชันล่าสุดที่มีอยู่เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

 

ที่มา : thehackernews

พบช่องโหว่ระดับ Critical ในเว็บเซิร์ฟเวอร์ยอดนิยม Jenkins ที่ผู้ใช้งานอยู่ทั่วโลกและมีผู้ใช้มากกว่า 1 ล้านคน โดยคำเเนะนำที่ถูกเผยเพร่ผ่านบริษัทนั้นระบุว่าช่องโหว่ที่สำคัญนั้นอยู่เว็บเซิร์ฟเวอร์ของ Jetty ซึ่งอาจส่งผลให้เกิด memory corruption และจะอาจทำให้ข้อมูลที่สำคัญในเซิร์ฟเวอร์ถูกเปิดเผย

ช่องโหว่ CVE-2019-17638 (CVSS: 9.4/10) ช่องโหว่เกิดจาการจัดการ HTTP response header บน Jetty ซึ่งทำหน้าที่เป็น Java HTTP เซิร์ฟเวอร์และ servlet เซิร์ฟเวอร์ในการเรียกใช้งาน jav, -jar, jenkins.

ทีมนักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีล่าสุดเพื่อแพร่กระจายมัลแวร์ Coinminer โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ Jenkins ที่มีช่องโหว่ด้านความปลอดภัย จากการประเมินเบื้องต้น ผู้ประสงค์สามารถสร้างรายได้กว่า 3 ล้านดอลลาร์สหรัฐฯ เมื่อแปลงจากสกุลเงิน Monero แล้ว แนะนำให้รีบแพตช์ช่องโหว่โดยด่วน

สำหรับช่องโหว่ที่ผู้ประสงค์ร้ายมุ่งโจมตีนั้นเป็นช่องโหว่รหัส CVE-2017-1000353 ซึ่งมีที่มาจากกระบวนการ serialization/deserialization อย่างไม่ปลอดภัยของ Jenkins CLI ทำให้ผู้ประสงค์ร้ายมีโอกาสในการสแกนหาเซิร์ฟเวอร์ Jenkins ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและทำการทดลองโจมตีช่องโหว่ดังกล่าวเพื่อที่จะรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมการทำงานของระบบเป้าหมายได้ ช่องโหว่ดังกล่าวส่งผลกระทบจนถึงเวอร์ชัน 2.56 สำหรับ main line release และจนถึงเวอร์ชัน 2.46.1 สำหรับ LTS release

Recommendation : โครงการ Jenkins ได้ออกมาคำแนะนำให้ผู้ใช้งานทำการอัปเกรด Jenkins เป็นเวอร์ชันล่าสุดก่อน (2.57 สำหรับ main line release และ 2.46.2 สำหรับ LTS release) จากนั้นให้ทำการปิดการเข้าถึงจากระยะไกลผ่านทาง CLI โดยเปลี่ยนขั้นตอนในการเข้าถึงเป็นโปรโตคอลอื่นๆ อาทิ HTTP หรือ SSH แทน

Affected Platform : Jenkins main line release จนถึงเวอร์ชัน 2.56 และ Jenkins LTS release จนถึงเวอร์ชัน 2.46.1

ที่มา : hackread

Jenkins ออกแพตช์ด้านความปลอดภัยครอบคลุมหลาย 10 ช่องโหว่

Jenkins ประกาศแพตช์ด้านความปลอดภัยวันนี้โดยมีช่องโหวที่ถูกปิดโดยแพตช์ดังกล่าวหลายช่องโหว่ ได้แก่ ช่องโหว่ CSRF ทั้งหมด 22 ช่องโหว่ ช่องโหว่รันโค้ดจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตน 1 ช่องโหว่ซึ่งเป็นปัญหาในกระบวนการ serialization มีความร้ายแรงระดับ critical และช่องโหว่ปลอมแปลงชื่อผู้ใช้งานบน CLI หนึ่งช่องโหว่

สำหรับเวอร์ชันของ Jenkins ที่ได้รับผลกระทบจากใน main line คือเวอร์ชันน้อยกว่า 2.57 และใน LTS คือน้อยกว่าเวอร์ชัน 2.46.2 แนะนำให้อัพเดตเพื่อลดความเสี่ยงของช่องโหว่โดยด่วน

ที่มา: jenkins