Une paire de vulnérabilités de sécurité graves a été révélée dans le serveur d’automatisation open source Jenkins qui pourrait conduire à l’exécution de code sur des systèmes ciblés.
Les failles, identifiées comme CVE-2023-27898 et CVE-2023-27905, affectent le serveur Jenkins et le centre de mise à jour, et ont été collectivement baptisées CorePlague par la société de sécurité cloud Aqua. Toutes les versions de Jenkins antérieures à 2.319.2 sont vulnérables et exploitables.
« L’exploitation de ces vulnérabilités pourrait permettre à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur Jenkins de la victime, conduisant potentiellement à une compromission complète du serveur Jenkins », a déclaré la société dans un rapport partagé avec Breachtarce.
Les lacunes sont le résultat de la façon dont Jenkins traite les plugins disponibles à partir du centre de mise à jour, permettant ainsi potentiellement à un acteur malveillant de télécharger un plugin avec une charge utile malveillante et de déclencher une attaque de script intersite (XSS).
« Une fois que la victime ouvre le ‘Available Plugin Manager’ sur son serveur Jenkins, le XSS est déclenché, permettant aux attaquants d’exécuter du code arbitraire sur le serveur Jenkins en utilisant l’API Script Console », a déclaré Aqua.
Puisqu’il s’agit également d’un cas de XSS stocké dans lequel le code JavaScript est injecté dans le serveur, la vulnérabilité peut être activée sans avoir à installer le plugin ou même à visiter l’URL du plugin en premier lieu.
De manière troublante, les failles pourraient également affecter les serveurs Jenkins auto-hébergés et être exploitées même dans des scénarios où le serveur n’est pas accessible au public sur Internet, car le centre de mise à jour public de Jenkins pourrait être « injecté par des attaquants ».
L’attaque, cependant, repose sur la condition préalable que le plugin malveillant soit compatible avec le serveur Jenkins et soit affiché en haut du flux principal sur la page « Available Plugin Manager ».
Cela, a déclaré Aqua, peut être truqué en « téléchargeant un plugin contenant tous les noms de plugins et les mots-clés populaires intégrés dans la description », ou en augmentant artificiellement le nombre de téléchargements du plugin en soumettant des demandes à partir de fausses instances.
Suite à la divulgation responsable le 24 janvier 2023, des correctifs ont été publiés par Jenkins pour le centre de mise à jour et le serveur. Il est recommandé aux utilisateurs de mettre à jour leur serveur Jenkins vers la dernière version disponible pour atténuer les risques potentiels.