Jenkins: Exploit erlaubt unauthentifiziertes auslesen von Systemdateien

  1. April 2024 – In Jenkins, eine weit verbreitete Automatisierungssoftware, wurde eine maximal kritische Schwachstelle (CVE-2024-23897) bekannt, die es ermöglicht durch spezielle Manipulation der Kommandozeilenschnittstelle (CLI) beliebige Dateien vom Zielsystem auszulesen. Die Schwere der Bedrohung mit fast maximaler CVSS Bewertung 9.8 / 10 wird durch die Existenz eines bereits veröffentlichten Proof of Concept (PoC) unterstrichen, welcher zeigt, das selbst Angreifer ohne Programmierkenntnisse die Schwachstelle ausnutzen können.

Jenkins benutzt die Bibliothek args4j zur Analyse von Befehlsargumenten. Eine Funktion dieser Bibliothek ersetzt ein “@"-Zeichen in Befehlsargumenten automatisch durch den Inhalt der dahinter angegebenen Datei (expandAtFiles), wodurch Dateien auf dem Server ohne strenge Zugriffsbeschränkungen ausgelesen werden können. Betroffen sind alle Jenkins-Versionen bis einschließlich 2.441 und LTS 2.426.2.

Der PoC demonstriert, wie Angreifer über parallelisierte HTTP-Anfragen die Schwachstelle ausnutzen können:

  • Upload-Anfrage: Sendet manipulierte Daten, die das Auslesen der Datei erzwingen sollen.
  • Download-Anfrage: Versucht, die Antwort mit den Daten der ausgelesenen Datei zu empfangen.

Diese Angriffsmethode kann potenziell genutzt werden, um sensible Informationen wie Kryptoschlüssel und Zugangsdaten zu extrahieren, die tiefgreifende und dauerhafte Schäden in betroffenen Systemen verursachen können.

Durch die Schwachstelle sind verschiedene Angriffsszenarien denkbar:

  • Remote Code Execution (RCE): Über spezielle URLs oder die “Remember me”-Funktion können unbefugte Codes auf dem Server ausgeführt werden.
  • Cross-Site Scripting (XSS): Durch manipulierte Build-Logs können Angreifer beliebigen HTML- und JavaScript-Code in Jenkins-Seiten einschleusen.
  • Command & Control-Angriffe (C&C): Durch CSRF-Token (“crumbs”) können Angreifer legitime Aktionen im Namen anderer Nutzer ausführen.

Die Entwickler von Jenkins haben bereits reagiert und empfehlen dringend das Update auf die neuesten Versionen (Jenkins 2.442, LTS 2.426.3, LTS 2.440.1), in denen das automatische Ersetzen von “@” deaktiviert ist. Zusätzlich wird geraten, den Zugang zur CLI komplett zu sperren, um mögliche Angriffe zu verhindern. Wer kein Update mehr installieren kann, sollte dringend eine Web Application Firewall mit entsprechend aktualisierten Regeln vorschalten, um einen Datenabfluss zu verhindern.

Tags :

Related Posts

Sicherheitslücke im HTML-Parser von ClamAV ermöglicht Denial-of-Service-Angriffe

Eine neu entdeckte Schwachstelle in der Antivirensoftware ClamAV könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, eine Denial-of-Service (DoS)-Bedingung auf einem betroffenen Gerät herbeizuführen. Die Schwachstelle, die unter der Kennung CVE-2024-20380 geführt wird, wurde am 19.4.24 in die GitHub Advisory Database und in die National Vulnerability Database aufgenommen.

Read More

Befehlsinjektion bei Cisco Integrated Management Controller möglich

Eine Sicherheitslücke im Command Line Interface (CLI) des Cisco Integrated Management Controller (IMC) könnte es einem authentifizierten, lokalen Angreifer ermöglichen, eine Befehlsinjektion auf dem zugrunde liegenden Betriebssystem durchzuführen und Root-Rechte zu erlangen. Um die Schwachstelle ausnutzen zu können, muss der Angreifer über Leseberechtigungen oder höhere Privilegien auf einem betroffenen Gerät verfügen.

Read More

Kritische Schwachstelle in Cisco Management Controller Webadmin

Cisco hat am 17.4.24 eine schwerwiegende Sicherheitslücke in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controllers (IMC) bekanntgegeben, die es einem authentifizierten Angreifer mit Administratorrechten ermöglicht, Kommando-Injektionsangriffe durchzuführen und Administratorrechte bis hin zum Root-Niveau zu erlangen.

Read More