Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance
La solution open source Jenkins est affectée par plusieurs failles de sécurité critiques pour lesquelles il y a déjà des exploits PoC disponibles sur Internet. Voici ce qu'il faut savoir sur ces vulnérabilités déjà exploitées au sein d'attaques.
Pour rappel, Jenkins est une solution open source très appréciée par les développeurs et les DevOps, notamment pour mettre en place un pipeline CI/CD.
Les chercheurs en sécurité de SonarSource ont fait la découverte de deux failles de sécurité dans Jenkins : CVE-2024-23897 et CVE-2024-23898. Jenkins a été informé de la découverte de ces vulnérabilités le 13 novembre 2023.
En lisant le rapport qu'ils ont mis en ligne, on apprend que l'exploitation de ces deux vulnérabilités permet à un attaquant d'accéder aux données hébergées sur le serveur Jenkins. Dans certains cas, l'attaquant pourrait même exécuter des commandes à distance sur le serveur vulnérable.
Il y a déjà plusieurs exploits PoC disponibles pour ces vulnérabilités, et d'après certains honeypots mis en place par des chercheurs en sécurité, des cybercriminels tentent déjà d'exploiter ces failles de sécurité.
Jenkins - CVE-2024-23897
Commençons par évoquer la faille de sécurité CVE-2024-23897 jugée comme critique et qui permet à un attaquant non authentifié, et disposant de la permission "overall/read", de lire les données des fichiers présents sur le serveur. Sans cette permission, il est possible de lire les premières lignes des fichiers. SonarSource précise qu'un attaquant pourrait utiliser cette technique pour consulter le fichier "/etc/passwd" afin d'obtenir la liste des utilisateurs présents sur le système.
Ce problème de sécurité réside dans la bibliothèque args4j utilisée par Jenkins. À ce sujet, Jenkins précise : "Cet analyseur de commandes dispose d'une fonctionnalité qui remplace le caractère @ suivi d'un chemin de fichier dans un argument par le contenu du fichier (expandAtFiles). Cette fonctionnalité est activée par défaut et Jenkins 2.441 et antérieurs, LTS 2.426.2 et antérieurs ne la désactive pas."
Jenkins - CVE-2024-23898
En ce qui concerne la vulnérabilité CVE-2024-23898, elle permet à un attaquant d'exécuter des commandes à distance en incitant un utilisateur à cliquer sur un lien malveillant. Cette vulnérabilité de type "cross-site WebSocket hijacking (CSWSH)" est moins grave que la première vulnérabilité découverte par SonarSource.
En principe, les navigateurs doivent atténuer les risques liés à l'exploitation de cette vulnérabilité, mais tous les navigateurs n'appliquent pas les mêmes règles de sécurité par défaut.
Comment se protéger ?
Pour protéger votre serveur et vos données, vous devez mettre à jour Jenkins afin d'utiliser l'une de ces deux versions :
- Jenkins 2.442
- Jenkins LTS 2.426.3
En complément, vous pouvez consulter le bulletin de sécurité de Jenkins sur cette page, car l'éditeur donne des informations sur les scénarios d'attaques envisageables, ainsi que des mesures d'atténuation possibles (en attendant d'installer le patch).
