Lỗ hổng có định danh CVE-2024-23897, ảnh hưởng đến Jenkins phiên bản 2.441 và LTS 2.426.2 trở về trước, xảy ra do trình phân tích cú pháp lệnh (thư viện args4j) có một tính năng trong đó ký tự "@" của một đối số được thay thế bằng nội dung của tệp tin. Điều này cho phép kẻ tấn công đọc các tệp tùy ý trên hệ thống tệp của Jenkins controller bằng cách sử dụng mã hóa ký tự mặc định của tiến trình này.
Những kẻ tấn công không được xác thực có thể khai thác lỗ hổng bảo mật để đọc vài dòng đầu tiên của tệp, trong khi đối với những kẻ tấn công đã xâm phạm, ngay cả khi chỉ có quyền “read” thì vẫn có thể xem toàn bộ nội dung của tệp.
Lỗ hổng CVE-2024-23897 có thể bị khai thác để đọc nội dung của tệp nhị phân chứa khóa mật mã, trong một số điều kiện nhất định, nó sẽ tạo cơ hội cho một số tình huống thực thi mã từ xa (RCE) và cho phép kẻ tấn công giải mã các dữ liệu bí mật được lưu trữ, xóa các mục trong Jenkins và tải xuống Java heap dump của tiến trình Jenkins controller.
Theo hãng bảo mật Sonar (Thụy Sĩ) - công ty đã phát hiện ra lỗ hổng, nguyên nhân cốt lõi của vấn đề này là do lệnh gọi hàm đọc tệp trong đường dẫn sau ký tự "@" và mở rộng đối số mới cho mỗi dòng lệnh. Kẻ tấn công chỉ cần tìm một lệnh lấy số lượng đối số tùy ý và hiển thị chúng lại cho người dùng, sau đó khai thác lỗ hổng để truy cập vào nội dung của tệp mà các đối số được điền từ đó.
Sonar cho biết, bằng cách khai thác lỗi này, kẻ tấn công có thể đọc khóa SSH, mật khẩu, thông tin xác thực của các dự án (project), mã nguồn và các thông tin khác .
Lỗ hổng trong Jenkins 2.442 và LTS 2.426.3 được giải quyết bằng cách vô hiệu hóa tính năng phân tích cú pháp lệnh. Nếu không thể cập nhật lên bản phát hành mới nhất, quản trị viên nên vô hiệu hóa quyền truy cập vào Jenkins CLI, điều này có thể ngăn chặn việc khai thác hoàn toàn, thế nhưng chỉ là giải pháp tạm thời.
Lỗ hổng này tồn tại gần một năm sau khi Jenkins giải quyết hai lỗ hổng bảo mật nghiêm trọng là CVE-2023-27898 và CVE-2023-27905, có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống mục tiêu.
Jenkins cũng đã công bố các bản vá cho một số lỗ hổng có mức độ nghiêm trọng trung bình và thấp, cũng như các bản sửa lỗi cho nhiều lỗ hổng có mức độ nghiêm trọng cao trong các plugin khác nhau, nhưng cảnh báo rằng CVE-2024-23904 - một lỗ hổng Log Command Plugin tương tự như CVE-2024-23897 vẫn chưa được vá.
Hiện tại, bằng chứng khái niệm (PoC) cho CVE-2024-23897 đã được xuất bản trên GitHub sau khi lỗ hổng được tiết lộ công khai, do đó người dùng cần phải cập nhật cài đặt của họ lên phiên bản mới nhất để ngăn ngừa rủi ro tiềm ẩn.
Nguyễn Hữu Hưng
(Tổng hợp)
15:00 | 19/01/2024
09:00 | 01/04/2024
08:00 | 21/03/2024
11:00 | 25/01/2024
09:00 | 08/03/2024
09:00 | 25/09/2019
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
Ngày 30/10, nền tảng LottieFiles đã phát đi cảnh báo về cuộc tấn công chuỗi cung ứng nhắm vào gói npm "lottie-player" của họ. Kẻ tấn công đã lén lút cài mã độc vào các phiên bản mới của gói này nhằm chiếm đoạt tiền điện tử từ ví của người dùng.
07:00 | 07/11/2024