-->
الصفحة الرئيسية

تنبيه أمان Jenkins: وجود عيوب أمنية جديدة قد تسمح بهجمات تنفيذ التعليمات البرمجية


تم الكشف عن زوج من الثغرات الأمنية الخطيرة في خادم أتمتة Jenkins مفتوح المصدر والذي قد يؤدي إلى تنفيذ التعليمات البرمجية على الأنظمة المستهدفة.

تؤثر العيوب ، التي تم تتبعها كـ CVE-2023-27898 و CVE-2023-27905 ، على خادم Jenkins ومركز التحديث ، وقد تم تسميتها بشكل جماعي CorePlague من قبل شركة الأمان السحابية Aqua. جميع إصدارات إصدارات Jenkins السابقة للإصدار 2.319.2 معرضة للخطر وقابلة للاستغلال.

وقالت الشركة في تقرير تمت مشاركته مع The Hacker News: "قد يسمح استغلال هذه الثغرات الأمنية لمهاجم غير مصادق بتنفيذ تعليمات برمجية عشوائية على خادم Jenkins الخاص بالضحية ، مما قد يؤدي إلى اختراق كامل لخادم Jenkins " .

ترجع أوجه القصور إلى كيفية معالجة Jenkins للمكونات الإضافية المتوفرة من مركز التحديث ، وبالتالي من المحتمل أن يمكّن ممثل التهديد من تحميل مكون إضافي بحمولة ضارة وإطلاق هجوم البرمجة النصية عبر المواقع (XSS).

قال أكوا : "بمجرد أن يفتح الضحية" مدير البرنامج المساعد المتاح "على خادم Jenkins الخاص به ، يتم تشغيل XSS ، مما يسمح للمهاجمين بتشغيل تعليمات برمجية عشوائية على خادم Jenkins باستخدام Script Console API ".

نظرًا لأنها أيضًا حالة XSS مخزنة حيث يتم حقن كود JavaScript في الخادم ، يمكن تنشيط الثغرة الأمنية دون الحاجة إلى تثبيت المكون الإضافي أو حتى زيارة عنوان URL للمكون الإضافي في المقام الأول.

بشكل مثير للقلق ، يمكن أن تؤثر العيوب أيضًا على خوادم Jenkins ذاتية الاستضافة ويمكن استغلالها حتى في السيناريوهات التي لا يكون فيها الخادم متاحًا للجمهور عبر الإنترنت نظرًا لأن مركز تحديث Jenkins العام يمكن "حقنه من قبل المهاجمين".

ومع ذلك ، فإن الهجوم يعتمد على الشرط الأساسي وهو أن المكون الإضافي الخادع متوافق مع خادم Jenkins ويظهر أعلى الخلاصة الرئيسية في صفحة "مدير البرنامج المساعد المتاح".

قال أكوا إنه يمكن تزوير هذا من خلال "تحميل مكون إضافي يحتوي على جميع أسماء المكونات الإضافية والكلمات الرئيسية الشائعة المضمنة في الوصف" ، أو زيادة أعداد التنزيلات بشكل مصطنع عن طريق إرسال طلبات من حالات وهمية.

بعد الكشف المسؤول في 24 يناير 2023 ، أصدرت Jenkins تصحيحات لمركز التحديث والخادم يوصى المستخدمين بتحديث خادم Jenkins الخاص بهم إلى أحدث إصدار متاح للتخفيف من المخاطر المحتملة.


author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة