01
漏洞信息
Jenkins是一个开源的、提供友好操作界面的持续集成工具,起源于Hudson,主要用于持续、自动的构建/测试软件项目、监控外部任务的运行。
Jenkins CLI 是 Jenkins 内置的命令行页面,调用客户端来执行一些Jenkins的功能。在处理 CLI 命令时Jenkins可以将@参数中后跟文件路径的字符替换为文件内容。
02
漏洞描述
·
漏洞成因
Jenkins使用args4j库来解析Jenkins控制器上的命令参数和选项,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用Jenkins控制器进程的默认字符编码读取Jenkins控制器文件系统上的任意文件。并结合Resource Root URL、Remember me cookie、存储型XSS或CSRF等在Jenkins控制器中执行任意代码。
·
利用特征
使用POST请求/cli接口,且包体中含有help命令以及@文件名。
·
漏洞影响
该漏洞的危害主要体现在以下几个方面:
-
任意文件读取:默认jenkins-cli未登录只能使用help命令最多读取第一、二行代码,开启了匿名登录,则能使用connect-node命令读取全部内容。
-
远程代码执行(RCE):攻击者可以结合Resource Root URL、Remember me cookie、存储型XSS或CSRF等在Jenkins控制器中执行任意代码。
03
影响版本
Jenkins <= 2.441
Jenkins LTS <= 2.426.2
04
解决方案
·
临时修复建议
设置
hudson.cli.CLICommand.allowAtSyntax为true,禁用cli访问
·
升级修复方案
官方已发布安全更新,修复了该漏洞。受影响的用户应尽快升级至2.442版本及以上。
·
云弈安全解决方案
“天视”资产风险监控系统已于第一时间更新插件,可以对以上漏洞进行检测。
05
漏洞复现
未开启匿名登录使用jenkins-cli.jar help命令读取/etc/passwd第一行
若开启了匿名登录
则能通过connect-node命令读取所有内容
北京云弈科技有限公司是一家专注于自主研发的国家高新技术企业和“专精特新”企业,致力于国家网络空间安全监测、防护和治理,聚焦于攻防能力与产品能力一体化输出的安全服务商。
基于实战对抗优势,构建了六位一体的纵深安全防御体系,研发出云戟主机自适应安全、弈盾网站云防御、天视资产风险监控、云弈国密堡垒机、海御异常流量清洗、幻鲸网络诱捕等系列产品,完成了产品与各类国产化操作系统、国产化芯片的适配,实现了自主可靠、安全可控。同时也提供渗透测试、红蓝对抗、重保服务、应急响应、等保咨询、密评咨询等安全运营服务,为各行业提供攻防一体化解决方案。
凭借攻防一体化安全能力解决方案,已获得了政府、运营商、金融、能源、教育、互联网等行业的数千家客户应用与认可。云弈科技致力于国家网络空间安全的技术创新和服务输出,积极履行社会责任,为构建安全可靠的数字化强国贡献力量。
● 权威认可
国家高新技术企业
中关村高新技术企业
北京市“专精特新”中小企业
北京市“创新型”中小企业
《2023信创产业TOP100榜单》TOP100企业
WIA2023创新奖
......
● 荣誉奖项
中国网络安全产业联盟先进会员
中国网络安全创新百强企业
中国网络安全产业百强企业
2022年中国网安产业潜力之星
2023中国网络安全产业势能榜
【金融】行业年度杰出“创新型”安全厂商
......
● 合作联盟
中国网络安全产业联盟
北京市工商业联合会
中国电子工业标准化技术协会
中国通信企业协会
统信同心生态联盟
UOS主动安全防护计划
海光产业生态合作组织
网络安全服务阳光行动成员
......
原文始发于微信公众号(云弈安全):【漏洞复现】Jenkins CLI 任意文件读取漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论