12 feb 2024

Vulnerabilidades críticas en Jenkins

El equipo de investigación de vulnerabilidades de Sonar ha descubierto vulnerabilidades de seguridad en Jenkins, el software líder de integración continua e implementación continua (CI/CD) de código abierto. Es urgente que los administradores y desarrolladores parcheen sus servidores Jenkins, debido a dos vulnerabilidades críticas que ya disponen de exploits públicos.

  • La vulnerabilidad crítica descubierta identificada como CVE-2024-23897 permite a atacantes no autenticados leer una cantidad limitada de datos de archivos arbitrarios y a atacantes autorizados de "solo lectura" en un archivo arbitrario completo desde el servidor de Jenkins. Los atacantes podrían aprovechar esta vulnerabilidad leyendo los secretos de Jenkins para escalar privilegios al administrador y, finalmente, ejecutar código arbitrario en el servidor.
  • La vulnerabilidad descubierta de secuestro de WebSocket entre sitios (CSWSH) de alta gravedad, rastreada como CVE-2024-23898, permite a un atacante ejecutar comandos CLI arbitrarios manipulando a una víctima para que haga clic en un enlace.

Las vulnerabilidades se solucionaron en las versiones 2.442 y LTS 2.426.3 de Jenkins.

"Jenkins usa la biblioteca args4j para analizar argumentos y opciones de comandos en el controlador Jenkins al procesar comandos CLI. Este analizador de comandos tiene una función que reemplaza un carácter @ seguido de una ruta de archivo en un argumento con el contenido del archivo (expandAtFiles). Esta función está habilitada de forma predeterminada y Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores no la desactivan", explica el aviso.

La primera vulnerabilidad, identificada como CVE-2024-23897 podría permitir a atacantes no autenticados con permiso "overall/read" leer archivos arbitrarios en el sistema de archivos del controlador Jenkins. Incluso aquellos sin estos permisos podrían leer las primeras líneas de los archivos, según Jenkins.

"Esto permite a los atacantes leer archivos arbitrarios en el sistema de archivos del controlador Jenkins utilizando la codificación de caracteres predeterminada del proceso del controlador Jenkins".

Según investigadores de SonarSource, los actores de amenazas podrían explotar la vulnerabilidad para leer los secretos de Jenkins, con el fin de "escalar privilegios de administrador y, finalmente, ejecutar código arbitrario en el servidor".

Esto es importante, porque Jenkins se describe como una de las ofertas de servidores de automatización de código abierto más populares y ampliamente utilizadas para crear, implementar y automatizar proyectos de software. Tiene una cuota de mercado de alrededor del 44% en el espacio de software de Integración Continua y Despliegue Continuo (CI/CD), según SonarSource.

Si un atacante pudiera obtener control remoto de estos entornos de desarrollo, en teoría podría plantar código malicioso en nuevas compilaciones de software, para usarlo en ataques a la cadena de suministro digital.

Las búsquedas de Shodan revelan más de 75.000 servidores Jenkins expuestos y sin parches en todo el mundo. Los exploits se publicaron en GitHub durante la última semana de enero.

Fuente: InfoSecurity Magazine

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!