Την Πέμπτη, η ομάδα ασφαλείας Jenkins ανακοίνωσε 34 ευπάθειες ασφαλείας που επηρεάζουν 29 plugins για τον open source automation server Jenkins, ενώ 29 από τα σφάλματα είναι zero-day που περιμένουν να επιδιορθωθούν.
Η Jenkins είναι μια εξαιρετικά δημοφιλής πλατφόρμα (με υποστήριξη για περισσότερα από 1.700 plugins) που χρησιμοποιείται από επιχειρήσεις σε όλο τον κόσμο για την κατασκευή, τη δοκιμή και την ανάπτυξη λογισμικού.
Οι βαθμολογίες βάσης CVSS των zero-days κυμαίνονται από χαμηλή έως υψηλή σοβαρότητα και, σύμφωνα με τα στατιστικά της Jenkins, τα plugins που επηρεάστηκαν έχουν συνολικά περισσότερες από 22.000 installs.
Η πλήρης λίστα των ελαττωμάτων που δεν έχουν ακόμη επιδιορθωθεί περιλαμβάνει σφάλματα XSS, Stored XSS, σφάλματα Cross-Site Request Forgery (CSRF), ελέγχους αδειών που λείπουν ή λανθασμένα, καθώς και κωδικούς πρόσβασης, μυστικά, κλειδιά API και tokens που είναι αποθηκευμένα σε απλό κείμενο.
Ευτυχώς, τα zero-days υψηλής σοβαρότητας, απαιτούν την εκμετάλλευση της αλληλεπίδρασης των χρηστών σε επιθέσεις χαμηλής πολυπλοκότητας από απομακρυσμένους εισβολείς με χαμηλά προνόμια.
Με βάση τα δεδομένα του Shodan, υπάρχουν επί του παρόντος περισσότεροι από 144.000 servers Jenkins που είναι εκτεθειμένοι στο Διαδίκτυο που θα μπορούσαν να στοχοποιηθούν σε επιθέσεις εάν εκτελούν ένα unpatched plugin.
Ενώ η ομάδα Jenkins έχει επιδιορθώσει τέσσερα από τα plugins, εξακολουθεί να υπάρχει μια μακρά λίστα ευάλωτων, όπως:
- Plugin Build Notifications
- Plugin build-metrics
- Cisco Spark Plugin
- Plugin Deployment Dashboard
- Elasticsearch Query Plugin
- EXtreme Feedback Panel Plugin
- Failed Job Deactivator Plugin
- Plugin GitLab
- Plugin HPE Virtualization Network
- Plugin Jigomerge
- Matrix Reloaded Plugin
- OpsGenie Plugin
- Plot Plugin
- Plugin Project Inheritance
- Recipe Plugin
- Request Rename Or Delete Plugin
- requests-plugin Plugin
- Rich Text Publisher Plugin
- Plugin Notifier RocketChat
- Plugin RQM
- Skype notifier Plugin
- TestNG Results Plugin
- Validating Email Parameter Plugin
- XebiaLabs XL Release Plugin
- XPath Configuration Viewer Plugin
“Από τη δημοσίευση αυτού του advisory, δεν υπάρχει καμία επιδιόρθωση”, είπε η ομάδα ασφαλείας Jenkins όταν περιέγραψε τα τρωτά σημεία που δεν έχουν επιδιορθωθεί.
Αν και κανένα από τα τρωτά σημεία δεν είναι κρίσιμης σοβαρότητας που θα μπορούσε να επιτρέψει στους απειλητικούς παράγοντες να εκτελούν κώδικα ή εντολές εξ αποστάσεως σε ευάλωτους servers για να τους αναλάβουν, θα μπορούσαν να στοχοποιηθούν σε επιθέσεις εναντίον εταιρικών δικτύων.
Αυτή δεν θα ήταν η πρώτη φορά που συμβαίνει αφού οι unpatched Jenkins servers έχουν παραβιαστεί στο παρελθόν για την εξόρυξη Monero cryptocurrency.
Ωστόσο, οι πιθανοί επιτιθέμενοι θα εκμεταλλευτούν πιθανώς αυτά τα zero-day σε αναγνωριστικές επιθέσεις, επιτρέποντάς τους να αποκτήσουν περισσότερες πληροφορίες για την υποδομή μιας στοχευμένης εταιρείας.
Πηγή πληροφοριών: bleepingcomputer.com
