แจ้งเตือนช่องโหว่ใหม่บน Jenkins ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสองรายการบน Jenkins open source automation server ที่อาจนำไปสู่การเรียกใช้งานโค้ดที่เป็นอันตรายบนระบบของเป้าหมายได้

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-27898 และ CVE-2023-27905 ส่งผลกระทบต่อกับเซิร์ฟเวอร์ Jenkins และ Update Center ทุกเวอร์ชันก่อนหน้า 2.319.2 ซึ่งบริษัทรักษาความปลอดภัยบนระบบคลาวด์ Aqua ได้ตั้งชื่อแคมเปญว่า CorePlague

โดย Aqua ระบุในรายงานว่า “การใช้ประโยชน์จากช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้คำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins ของเหยื่อ ซึ่งอาจนำไปสู่การเข้าควบคุมเซิร์ฟเวอร์ Jenkins ได้อย่างสมบูรณ์ในที่สุด"

ช่องโหว่ดังกล่าวเป็นผลมาจากวิธีการที่ Jenkins ประมวลผลปลั๊กอินที่มีใน Update Center จึงอาจทำให้ผู้ไม่หวังดีสามารถอัปโหลดปลั๊กอินที่มีเพย์โหลดที่เป็นอันตราย และทำการโจมตีแบบ cross-site scripting (XSS) ได้

"เมื่อเหยื่อเปิด 'Available Plugin Manager' บนเซิร์ฟเวอร์ Jenkins ของพวกเขา XSS จะถูกเรียกใช้งาน ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ Jenkins โดยใช้ Script Console API" Aqua ระบุในรายงาน

เนื่องจาก XSS นั้นจะมีการแทรกโค้ดที่เป็น JavaScript ลงในเซิร์ฟเวอร์ของเหยื่อทำให้ช่องโหว่นี้สามารถเปิดใช้งานได้โดยไม่ต้องติดตั้งปลั๊กอิน หรือไม่ต้องไปที่ URL ของปลั๊กอินตั้งแต่แรก

ปัญหาคือช่องโหว่นี้อาจส่งผลกระทบต่อ self-hosted Jenkins เซิร์ฟเวอร์ และอาจถูกโจมตีได้แม้จะเป็นเซิร์ฟเวอร์ที่ไม่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตก็ตาม เนื่องจาก public Jenkins Update Center อาจถูกโจมตีโดยผู้ไม่หวังดี

อย่างไรก็ตาม การโจมตีนั้นขึ้นอยู่กับข้อกำหนดเบื้องต้นว่าปลั๊กอินปลอมนั้นสามารถเข้ากันได้กับเซิร์ฟเวอร์ Jenkins ของเหยื่อหรือไม่ โดยจะมีการแจ้งเตือนขึ้นในหน้าฟีดหลักว่า "Available Plugin Manager"

Aqua ระบุว่าสิ่งนี้สามารถถูกผู้ไม่หวังดีแก้ไขได้โดยการอัปโหลดปลั๊กอินยอดนิยมที่เป็นของปลอม หรืออัปโหลดปลั๊กอินปลอมที่มี Keyword ยอดนินยมในคำอธิบายเพื่อให้เหยื่อค้นหาเจอได้ง่ายขึ้น หรือการเพิ่มยอดดาวน์โหลดปลั๊กอินปลอมเพื่อให้มีความน่าเชื่อถือ

หลังจากได้มีการออกมาแสดงความรับผิดชอบในวันที่ 24 มกราคม 2023 ทาง Jenkins ได้ออกแพตช์สำหรับ Update Center และเซิร์ฟเวอร์ แนะนำให้ผู้ใช้งานอัปเดตเซิร์ฟเวอร์ Jenkins เป็นเวอร์ชันล่าสุดที่มีอยู่เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

 

ที่มา : thehackernews

พบช่องโหว่ระดับ Critical ใน Jenkins เว็บเซิร์ฟเวอร์ที่อาจส่งผลให้เกิดการเปิดเผยข้อมูลสำคัญในเซิร์ฟเวอร์

พบช่องโหว่ระดับ Critical ในเว็บเซิร์ฟเวอร์ยอดนิยม Jenkins ที่ผู้ใช้งานอยู่ทั่วโลกและมีผู้ใช้มากกว่า 1 ล้านคน โดยคำเเนะนำที่ถูกเผยเพร่ผ่านบริษัทนั้นระบุว่าช่องโหว่ที่สำคัญนั้นอยู่เว็บเซิร์ฟเวอร์ของ Jetty ซึ่งอาจส่งผลให้เกิด memory corruption และจะอาจทำให้ข้อมูลที่สำคัญในเซิร์ฟเวอร์ถูกเปิดเผย

ช่องโหว่ CVE-2019-17638 (CVSS: 9.4/10) ช่องโหว่เกิดจาการจัดการ HTTP response header บน Jetty ซึ่งทำหน้าที่เป็น Java HTTP เซิร์ฟเวอร์และ servlet เซิร์ฟเวอร์ในการเรียกใช้งาน jav, -jar, jenkins.

Hackers made $3M on Jenkins server in one of biggest mining ops ever

ทีมนักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีล่าสุดเพื่อแพร่กระจายมัลแวร์ Coinminer โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ Jenkins ที่มีช่องโหว่ด้านความปลอดภัย จากการประเมินเบื้องต้น ผู้ประสงค์สามารถสร้างรายได้กว่า 3 ล้านดอลลาร์สหรัฐฯ เมื่อแปลงจากสกุลเงิน Monero แล้ว แนะนำให้รีบแพตช์ช่องโหว่โดยด่วน

สำหรับช่องโหว่ที่ผู้ประสงค์ร้ายมุ่งโจมตีนั้นเป็นช่องโหว่รหัส CVE-2017-1000353 ซึ่งมีที่มาจากกระบวนการ serialization/deserialization อย่างไม่ปลอดภัยของ Jenkins CLI ทำให้ผู้ประสงค์ร้ายมีโอกาสในการสแกนหาเซิร์ฟเวอร์ Jenkins ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและทำการทดลองโจมตีช่องโหว่ดังกล่าวเพื่อที่จะรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมการทำงานของระบบเป้าหมายได้ ช่องโหว่ดังกล่าวส่งผลกระทบจนถึงเวอร์ชัน 2.56 สำหรับ main line release และจนถึงเวอร์ชัน 2.46.1 สำหรับ LTS release

Recommendation : โครงการ Jenkins ได้ออกมาคำแนะนำให้ผู้ใช้งานทำการอัปเกรด Jenkins เป็นเวอร์ชันล่าสุดก่อน (2.57 สำหรับ main line release และ 2.46.2 สำหรับ LTS release) จากนั้นให้ทำการปิดการเข้าถึงจากระยะไกลผ่านทาง CLI โดยเปลี่ยนขั้นตอนในการเข้าถึงเป็นโปรโตคอลอื่นๆ อาทิ HTTP หรือ SSH แทน

Affected Platform : Jenkins main line release จนถึงเวอร์ชัน 2.56 และ Jenkins LTS release จนถึงเวอร์ชัน 2.46.1

ที่มา : hackread

​Jenkins Security Advisory 2017-04-26

Jenkins ออกแพตช์ด้านความปลอดภัยครอบคลุมหลาย 10 ช่องโหว่

Jenkins ประกาศแพตช์ด้านความปลอดภัยวันนี้โดยมีช่องโหวที่ถูกปิดโดยแพตช์ดังกล่าวหลายช่องโหว่ ได้แก่ ช่องโหว่ CSRF ทั้งหมด 22 ช่องโหว่ ช่องโหว่รันโค้ดจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตน 1 ช่องโหว่ซึ่งเป็นปัญหาในกระบวนการ serialization มีความร้ายแรงระดับ critical และช่องโหว่ปลอมแปลงชื่อผู้ใช้งานบน CLI หนึ่งช่องโหว่

สำหรับเวอร์ชันของ Jenkins ที่ได้รับผลกระทบจากใน main line คือเวอร์ชันน้อยกว่า 2.57 และใน LTS คือน้อยกว่าเวอร์ชัน 2.46.2 แนะนำให้อัพเดตเพื่อลดความเสี่ยงของช่องโหว่โดยด่วน

ที่มา: jenkins