Lỗ hổng có định danh CVE-2024-23897, ảnh hưởng đến Jenkins phiên bản 2.441 và LTS 2.426.2 trở về trước, xảy ra do trình phân tích cú pháp lệnh (thư viện args4j) có một tính năng trong đó ký tự "@" của một đối số được thay thế bằng nội dung của tệp tin. Điều này cho phép kẻ tấn công đọc các tệp tùy ý trên hệ thống tệp của Jenkins controller bằng cách sử dụng mã hóa ký tự mặc định của tiến trình này.
Những kẻ tấn công không được xác thực có thể khai thác lỗ hổng bảo mật để đọc vài dòng đầu tiên của tệp, trong khi đối với những kẻ tấn công đã xâm phạm, ngay cả khi chỉ có quyền “read” thì vẫn có thể xem toàn bộ nội dung của tệp.
Lỗ hổng CVE-2024-23897 có thể bị khai thác để đọc nội dung của tệp nhị phân chứa khóa mật mã, trong một số điều kiện nhất định, nó sẽ tạo cơ hội cho một số tình huống thực thi mã từ xa (RCE) và cho phép kẻ tấn công giải mã các dữ liệu bí mật được lưu trữ, xóa các mục trong Jenkins và tải xuống Java heap dump của tiến trình Jenkins controller.
Theo hãng bảo mật Sonar (Thụy Sĩ) - công ty đã phát hiện ra lỗ hổng, nguyên nhân cốt lõi của vấn đề này là do lệnh gọi hàm đọc tệp trong đường dẫn sau ký tự "@" và mở rộng đối số mới cho mỗi dòng lệnh. Kẻ tấn công chỉ cần tìm một lệnh lấy số lượng đối số tùy ý và hiển thị chúng lại cho người dùng, sau đó khai thác lỗ hổng để truy cập vào nội dung của tệp mà các đối số được điền từ đó.
Sonar cho biết, bằng cách khai thác lỗi này, kẻ tấn công có thể đọc khóa SSH, mật khẩu, thông tin xác thực của các dự án (project), mã nguồn và các thông tin khác .
Lỗ hổng trong Jenkins 2.442 và LTS 2.426.3 được giải quyết bằng cách vô hiệu hóa tính năng phân tích cú pháp lệnh. Nếu không thể cập nhật lên bản phát hành mới nhất, quản trị viên nên vô hiệu hóa quyền truy cập vào Jenkins CLI, điều này có thể ngăn chặn việc khai thác hoàn toàn, thế nhưng chỉ là giải pháp tạm thời.
Lỗ hổng này tồn tại gần một năm sau khi Jenkins giải quyết hai lỗ hổng bảo mật nghiêm trọng là CVE-2023-27898 và CVE-2023-27905, có thể dẫn đến việc thực thi mã tùy ý trên các hệ thống mục tiêu.
Jenkins cũng đã công bố các bản vá cho một số lỗ hổng có mức độ nghiêm trọng trung bình và thấp, cũng như các bản sửa lỗi cho nhiều lỗ hổng có mức độ nghiêm trọng cao trong các plugin khác nhau, nhưng cảnh báo rằng CVE-2024-23904 - một lỗ hổng Log Command Plugin tương tự như CVE-2024-23897 vẫn chưa được vá.
Hiện tại, bằng chứng khái niệm (PoC) cho CVE-2024-23897 đã được xuất bản trên GitHub sau khi lỗ hổng được tiết lộ công khai, do đó người dùng cần phải cập nhật cài đặt của họ lên phiên bản mới nhất để ngăn ngừa rủi ro tiềm ẩn.
Nguyễn Hữu Hưng
(Tổng hợp)
15:00 | 19/01/2024
09:00 | 01/04/2024
08:00 | 21/03/2024
11:00 | 25/01/2024
09:00 | 08/03/2024
09:00 | 25/09/2019
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
10:00 | 26/11/2024
Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 06/02/2025