대상 시스템에서 코드 실행으로 이어질 수 있는 한 쌍의 심각한 보안 취약점이 Jenkins 오픈 소스 자동화 서버에서 공개되었습니다.
CVE-2023-27898 및 CVE-2023-27905로 추적되는 결함은 Jenkins 서버 및 업데이트 센터에 영향을 미치며 총체적으로 명명되었습니다. CorePlague 클라우드 보안 회사인 Aqua에서 제공합니다. 2.319.2 이전 버전의 모든 Jenkins 버전은 취약하고 악용될 수 있습니다.
이 회사는 The Hacker News와 공유한 보고서에서 “이러한 취약점을 악용하면 인증되지 않은 공격자가 피해자의 Jenkins 서버에서 임의의 코드를 실행할 수 있으며 잠재적으로 Jenkins 서버가 완전히 손상될 수 있습니다.”라고 밝혔습니다.
단점은 Jenkins가 업데이트 센터에서 사용할 수 있는 플러그인을 처리하는 방식의 결과로 잠재적으로 위협 행위자가 악성 페이로드가 포함된 플러그인을 업로드하고 XSS(교차 사이트 스크립팅) 공격을 트리거할 수 있습니다.
Aqua는 “피해자가 Jenkins 서버에서 ‘Available Plugin Manager’를 열면 XSS가 트리거되어 공격자가 스크립트 콘솔 API를 사용하여 Jenkins 서버에서 임의의 코드를 실행할 수 있습니다.”라고 말했습니다.
JavaScript 코드가 서버에 주입되는 저장된 XSS의 경우도 있기 때문에 플러그인을 설치하거나 플러그인의 URL을 처음 방문하지 않고도 취약점이 활성화될 수 있습니다.
문제는 이 결함이 자체 호스팅 Jenkins 서버에도 영향을 미칠 수 있으며 공용 Jenkins 업데이트 센터가 “공격자에 의해 주입”될 수 있기 때문에 서버가 인터넷을 통해 공개적으로 액세스할 수 없는 시나리오에서도 악용될 수 있다는 것입니다.
그러나 공격은 악성 플러그인이 Jenkins 서버와 호환되고 “Available Plugin Manager” 페이지의 기본 피드 상단에 표시된다는 전제 조건을 기반으로 합니다.
Aqua는 “설명에 포함된 모든 플러그인 이름과 인기 키워드를 포함하는 플러그인을 업로드”하여 조작하거나 가짜 인스턴스에서 요청을 제출하여 플러그인의 다운로드 수를 인위적으로 높일 수 있다고 말했습니다.
2023년 1월 24일 책임 공개에 이어 Jenkins에서 업데이트 센터 및 서버용 패치를 출시했습니다. 사용자는 잠재적 위험을 완화하기 위해 Jenkins 서버를 사용 가능한 최신 버전으로 업데이트하는 것이 좋습니다.