Một cặp lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong máy chủ tự động hóa mã nguồn mở Jenkins có thể dẫn đến việc thực thi mã trên các hệ thống.
CVE-2023-27898 và CVE-2023-27905, ảnh hưởng đến máy chủ Jenkins và Update Center, được công ty Aqua đặt tên chung là CorePlague. Tất cả các phiên bản Jenkins trước 2.319.2 đều có thể bị tấn công.
“Khai thác những lỗ hổng này có thể cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ Jenkins, có khả năng dẫn đến việc chiếm quyền máy chủ Jenkins”, công ty cho biết.
Lỗ hổng là thiếu sót của cách Jenkins xử lý các plugin từ Update Center, các tác nhân độc hại có thể upload các plugin độc hại để thực hiện một cuộc tấn công XSS.
“Sau khi nạn nhân mở ‘Trình quản lý plugin có sẵn’ trên máy chủ Jenkins, XSS được kích hoạt, cho phép kẻ tấn công chạy mã tùy ý trên Máy chủ Jenkins bằng cách sử dụng API”.
Vì đây là một Stored XSS, các mã JavaScript được đưa vào máy chủ, vì vậy có thể kích hoạt lỗ hổng bảo mật mà không cần cài các plugin hoặc truy cập đến URL ngay từ đầu.
Điều đáng lo ngại là lỗ hổng ảnh hưởng đến các máy chủ Jenkins tự lưu trữ và có thể bị khai thác ngay cả khi máy chủ không thể truy cập qua internet do tác nhân độc hại có thể đẩy payload qua Update Center.
Tuy nhiên, cuộc tấn công dựa trên điều kiện tiên quyết là plugin độc hại tương thích với máy chủ Jenkins và xuất hiện trên trang “Trình quản lý plugin có sẵn”.
Sau khi tiết lộ có trách nhiệm vào ngày 24 tháng 1 năm 2023, các bản vá đã được Jenkins phát hành cho Update Center và Jenkins server. Người dùng nên cập nhật máy chủ Jenkins của họ lên phiên bản mới nhất hiện có để giảm thiểu rủi ro tiềm ẩn.
Nguồn: https://thehackernews.com/