Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024 | LỖ HỔNG ATTT

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

Lỗ hổng có định danh CVE-2024-23897, ảnh hưởng đến Jenkins phiên bản 2.441 và LTS 2.426.2 trở về trước, xảy ra do trình phân tích cú pháp lệnh (thư viện args4j) có một tính năng trong đó ký tự "@" của một đối số được thay thế bằng nội dung của tệp tin. Điều này cho phép kẻ tấn công đọc các tệp tùy ý trên hệ thống tệp của Jenkins controller bằng cách sử dụng mã hóa ký tự mặc định của tiến trình này.

Những kẻ tấn công không được xác thực có thể khai thác lỗ hổng bảo mật để đọc vài dòng đầu tiên của tệp, trong khi đối với những kẻ tấn công đã xâm phạm, ngay cả khi chỉ có quyền “read” thì vẫn có thể xem toàn bộ nội dung của tệp.

Lỗ hổng CVE-2024-23897 có thể bị khai thác để đọc nội dung của tệp nhị phân chứa khóa mật mã, trong một số điều kiện nhất định, nó sẽ tạo cơ hội cho một số tình huống thực thi mã từ xa (RCE) và cho phép kẻ tấn công giải mã các dữ liệu bí mật được lưu trữ, xóa các mục trong Jenkins và tải xuống Java heap dump của tiến trình Jenkins controller.

Theo hãng bảo mật Sonar (Thụy Sĩ) - công ty đã phát hiện ra lỗ hổng, nguyên nhân cốt lõi của vấn đề này là do lệnh gọi hàm đọc tệp trong đường dẫn sau ký tự "@" và mở rộng đối số mới cho mỗi dòng lệnh. Kẻ tấn công chỉ cần tìm một lệnh lấy số lượng đối số tùy ý và hiển thị chúng lại cho người dùng, sau đó khai thác lỗ hổng để truy cập vào nội dung của tệp mà các đối số được điền từ đó.

Sonar cho biết, bằng cách khai thác lỗi này, kẻ tấn công có thể đọc khóa SSH, mật khẩu, thông tin xác thực của các dự án (project), mã nguồn và các thông tin khác .

Lỗ hổng trong Jenkins 2.442 và LTS 2.426.3 được giải quyết bằng cách vô hiệu hóa tính năng phân tích cú pháp lệnh. Nếu không thể cập nhật lên bản phát hành mới nhất, quản trị viên nên vô hiệu hóa quyền truy cập vào Jenkins CLI, điều này có thể ngăn chặn việc khai thác hoàn toàn, thế nhưng chỉ là giải pháp tạm thời.

Lỗ hổng này tồn tại gần một năm sau khi Jenkins giải quyết hai lỗ hổng bảo mật nghiêm trọng là CVE-2023-27898 và CVE-2023-27905, có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống mục tiêu.

Jenkins cũng đã công bố các bản vá cho một số lỗ hổng có mức độ nghiêm trọng trung bình và thấp, cũng như các bản sửa lỗi cho nhiều lỗ hổng có mức độ nghiêm trọng cao trong các plugin khác nhau, nhưng cảnh báo rằng CVE-2024-23904 - một lỗ hổng Log Command Plugin tương tự như CVE-2024-23897 vẫn chưa được vá.

Hiện tại, bằng chứng khái niệm (PoC) cho CVE-2024-23897 đã được xuất bản trên GitHub sau khi lỗ hổng được tiết lộ công khai, do đó người dùng cần phải cập nhật cài đặt của họ lên phiên bản mới nhất để ngăn ngừa rủi ro tiềm ẩn.

Nguyễn Hữu Hưng

(Tổng hợp)

‹ › ×

Tin liên quan

Fortinet phát hành bản vá cho lỗ hổng thực thi mã từ xa

08:00 | 21/03/2024

Mới đây, Fortinet đã phát hành bản vá cho các lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng nghiêm trọng dẫn đến việc thực thi mã từ xa có định danh CVE-2023-42789 và CVE-2023-48788.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Lỗ hổng Windows SmartScreen bị khai thác để phát tán phần mềm độc hại Phemedrone

11:00 | 25/01/2024

Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Lỗ hổng bảo mật trên ứng dụng Jenkins cho phép tin tặc điều khiển máy tính từ xa

09:00 | 25/09/2019

Ngày 18/9/2019, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) đã phát đi cảnh báo lỗ hổng bảo mật nghiêm trọng trên ứng dụng mã nguồn mở Jenkins. Lỗ hổng này cho phép tin tặc thực thi mã từ xa, gây ảnh hưởng nghiêm trọng tới hệ thống máy tính của các doanh nghiệp Việt Nam.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.