- Tổng quan và phân tích
Trong hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CMC Telecom Threat Intelligence đã ghi nhận nhiều lỗ hổng bảo mật nghiêm trọng đã được công bố của Jenkins. Kh khai thác thành công các lỗ hổng này sẽ cho phép tác nhân đe dọa đánh cắp dữ liệu nhạy cảm, bypass các cơ chế bảo mật, và giành quyền kiểm soát máy chủ Jenkins.
Theo tài liệu bảo mật Jenkins Security Advisory 2024-10-02, các lỗ hổng với mức độ nghiêm trọng nhất bao gồm:
- CVE-2024-47803: Exposure of multi-line secrets through error messages in Jenkins. Lỗ hổng này làm lộ lọt các dòng, cấu hình nhạy cảm như API key, mật khẩu thông qua các thông báo lỗi. Thông tin này có thể được truy cập thông qua nhật ký hệ thống, có khả năng cho phép kẻ tấn công truy cập vào thông tin xác thực nhạy cảm.
- CVE-2024-47804: Item creation restriction bypass vulnerability in Jenkins: Khai thác cho phép kẻ tấn công có quyền Item/Create từ đó bỏ qua những hạn chế, tạo ra một mục tạm thời. Với quyền Item/Configure, kẻ tấn công có thể thiết lập tính duy trì cho thư mục tạm thời đó
- CVE-2024-47805: Item creation restriction bypass vulnerability in Jenkins. Lỗ hổng này cho phép người dùng có quyền “Extend Read” xem các thông tin xác thực được mã hóa, có khả năng làm lộ lọt thông tin như tệp bí mật, …
- CVE-2024-47806 & CVE-2024-47807: Lack of audience/issuer claim validation in OpenId Connect Authentication Plugin. Khai thác lỗ hổng này cho phép kẻ tấn công bỏ qua xác thực, có khả năng giành được quyền truy cập của quản trị viên vào máy chủ Jenkins
2. Ảnh hưởng và giảm thiểu rủi ro
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | Jenkins weekly | < 2.479 | >= 2.479 |
| 2 | Jenkins LTS | < 2.462.3 | >= 2.462.3 |
| 3 | Credentials Plugin | <=1380.va_435002fa_924 | 1381.v2c3a_12074da_b_ |
| 4 | OpenID Connect Authentication Plugin | < 4.355.v3a_fb_fca_b_96d4 | >= 4.355.v3a_fb_fca_b_96d4 |
3. Một số nguồn tham khảo
