Jenkins چندین باگ Zero-Day در پلاگین ها را افشا میکند.

Jenkins چندین باگ Zero-Day در پلاگین ها را افشا میکند.

در چهارشنبه، تیم امنیتی Jenkins اعلام کرد که در حدود 34 آسیب پذیری امنیتی که 29 پلاگین را تحت تاثیر قرار میدهند؛ برای اتوماسیون متن باز سرور Jenkins هستند. 29 باگ نیز zero-days هستند که نیازمند دریافت پچ میباشند.

در چهارشنبه، تیم امنیتی Jenkins اعلام کرد که در  حدود 34 آسیب پذیری امنیتی که 29 پلاگین را تحت تاثیر قرار میدهند؛ برای اتوماسیون متن باز سرور Jenkins هستند. 29 باگ نیز zero-days هستند که نیازمند دریافت پچ میباشند.
 Jenkins یک پلتفرم بسیار محبوب است ( با پشتیبانی از بیش از 1700 پلاگین ) که توسط شرکت های سرتاسر دنیا برای ساختن، تست کردن و توسعه ی نرم افزار استفاده میشود.
CVSS امتیاز های zero-days از شدت کم تا بالا را شامل میشوند، که طبق آمار Jenkins، پلاگین های تحت تاثیر قرار گرفته شامل جمعا بیش از 22 هزار نصب میشوند.
لیست کامل نقص های امنیتی که باید patch شوند شامل XSS، XSS های ذخیره شده، باگ های CSRF، بررسی های مجوز های اشتباه یا گم شده، همچنین رمز های عبور، secret ها، کلید های API، و توکن های ذخیره شده به صورت متن میشود.
خوشبختانه، بیشتر آسیب پذیری های حیاتی Zero-day، نیازمند تعامل کاربر میباشند تا در یک حمله با پیچیدگی پایین توسط حمله کننده ها، به صورت ریموت و با دسترسی کم، اکسپلویت شوند.
براساس اطلاعات Shodan، در حال حاضر بیش از 144 هزار سرور Jenkins در معرض خطر قرار گرفته وجود دارند که میتوانند مورد حمله قرار بگیرند اگر پچ نشوند.
 
جنکینز
 
در حالی که تیم Jenkins حدود 4 پلاگین را پچ کرده است ( GitLab, requests-plugin, TestNG results, XebiaLabs XL Release )، لیست طولانی از آسیب پذیری ها وجود دارد که شامل لیست زیر هستند : 
 
  • Build Notifications Plugin up to and including 1.5.0
  • build-metrics Plugin up to and including 1.3
  • Cisco Spark Plugin up to and including 1.1.1
  • Deployment Dashboard Plugin up to and including 1.0.10
  • Elasticsearch Query Plugin up to and including 1.2
  • eXtreme Feedback Panel Plugin up to and including 2.0.1
  • Failed Job Deactivator Plugin up to and including 1.2.1
  • GitLab Plugin up to and including 1.5.34
  • HPE Network Virtualization Plugin up to and including 1.0
  • Jigomerge Plugin up to and including 0.9
  • Matrix Reloaded Plugin up to and including 1.1.3
  • OpsGenie Plugin up to and including 1.9
  • Plot Plugin up to and including 2.1.10
  • Project Inheritance Plugin up to and including 21.04.03
  • Recipe Plugin up to and including 1.2
  • Request Rename Or Delete Plugin up to and including 1.1.0
  • requests-plugin Plugin up to and including 2.2.16
  • Rich Text Publisher Plugin up to and including 1.4
  • RocketChat Notifier Plugin up to and including 1.5.2
  • RQM Plugin up to and including 2.8
  • Skype notifier Plugin up to and including 1.1.0
  • TestNG Results Plugin up to and including 554.va4a552116332
  • Validating Email Parameter Plugin up to and including 1.10
  • XebiaLabs XL Release Plugin up to and including 22.0.0
  • XPath Configuration Viewer Plugin up to and including 1.1.1
 
تیم امنیتی Jenkins هنگامی که این آسیب پذیری ها را توصیف میکرده، اعلام است : " از زمان انتشار این توصیه، راه حلی وجود ندارد. "
در حالی که هیچ کدام یک از آسیب پذیری ها شدت حیاتی ندارند، آن هایی که به هکر اجازه میدهند کد یا دستوراتی بر روی سرور های آسیب پذیر اجرا کنند تا کنترل آن ها را به دست بگیرند، میتوانند در حمله ضد شبکه سازمان های بزرگ مورد استفاده قرار بگیرند.
این اولین بار نیست که این اتفاق افتاده است؛ زمانی سرور های پچ نشده Jenkins مورد نفوذ قرار گرفته تا برای ماین ارز دیجیتال Monero مورد استفاده قرار بگیرد.
اگرچه، حمله کننده های احتمالی، ممکن است این آسیب پذیری های Zero-day در حملات اکتشافی استفاده کنند که به آنها نگاه بهتری به زیر ساخت درونی شرکت بدهد.