El equipo de investigación de vulnerabilidades de
Sonar ha descubierto
vulnerabilidades de seguridad en Jenkins, el software líder de integración
continua e implementación continua (CI/CD) de código abierto. Es urgente que
los administradores y desarrolladores parcheen sus servidores Jenkins, debido
a dos vulnerabilidades críticas que ya disponen
de exploits públicos.
-
La vulnerabilidad crítica descubierta identificada como CVE-2024-23897
permite a atacantes no autenticados leer una cantidad limitada de datos de
archivos arbitrarios y a atacantes autorizados de «solo lectura» en un
archivo arbitrario completo desde el servidor de Jenkins. Los atacantes
podrían aprovechar esta vulnerabilidad leyendo los secretos de Jenkins para
escalar privilegios al administrador y, finalmente, ejecutar código
arbitrario en el servidor. -
La vulnerabilidad descubierta de secuestro de WebSocket entre sitios (CSWSH)
de alta gravedad, rastreada como CVE-2024-23898, permite a un atacante
ejecutar comandos CLI arbitrarios manipulando a una víctima para que haga
clic en un enlace.
Las vulnerabilidades se solucionaron en las
versiones 2.442 y LTS 2.426.3 de Jenkins.
«Jenkins usa la biblioteca args4j para analizar argumentos y opciones de
comandos en el controlador Jenkins al procesar comandos CLI. Este analizador
de comandos tiene una función que reemplaza un carácter @ seguido de una
ruta de archivo en un argumento con el contenido del archivo
(expandAtFiles). Esta función está habilitada de forma predeterminada y
Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores no la desactivan», explica el aviso.
atacantes no autenticados con permiso «overall/read» leer archivos
arbitrarios en el sistema de archivos del controlador Jenkins. Incluso
aquellos sin estos permisos podrían leer las primeras líneas de los archivos,
según Jenkins.
«Esto permite a los atacantes leer archivos arbitrarios en el sistema de
archivos del controlador Jenkins utilizando la codificación de caracteres
predeterminada del proceso del controlador Jenkins».
Según investigadores de SonarSource, los actores de amenazas podrían explotar la vulnerabilidad para leer los
secretos de Jenkins, con el fin de
«escalar privilegios de administrador y, finalmente, ejecutar código
arbitrario en el servidor».
Esto es importante, porque Jenkins se describe como una de las ofertas de
servidores de automatización de código abierto más populares y ampliamente
utilizadas para crear, implementar y automatizar proyectos de software. Tiene
una cuota de mercado de alrededor del
44% en el espacio de software de Integración Continua y Despliegue Continuo
(CI/CD), según SonarSource.
Si un atacante pudiera obtener control remoto de estos entornos de desarrollo,
en teoría podría plantar código malicioso en nuevas compilaciones de software,
para usarlo en ataques a la cadena de suministro digital.
Las búsquedas de Shodan revelan más de 75.000 servidores Jenkins expuestos
y sin parches en todo el mundo. Los exploits se publicaron en GitHub durante
la última semana de enero.
Fuente: InfoSecurity Magazine
Los comentarios están cerrados.