[EXPLOIT][JENKINS] Prise de contrôle du système via une vulnérabilité au sein de Jenkins

[EXPLOIT][JENKINS] Prise de contrôle du système via une vulnérabilité au sein de Jenkins

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée (31 juillet au 6 août). Nous vous partageons la publication d’un code d’exploitation affectant l’intégrateur Jenkins. Il permet d’exploiter une vulnérabilité au sein des bibliothèques de sérialisation et permet de prendre le contrôle d’un système vulnérable à distance.


Description :

Une preuve de concept, exploitant l’une des vulnérabilités présentées dans le bulletin CXA-2016-0627, a été publiée.

La vulnérabilité, référencée CVE-2016-0792, affecte la bibliothèque de sérialisation XStream et Groovy Expando. L’exploitation de cette faille permet à un attaquant distant d’exécuter du code arbitraire et de prendre le contrôle du système via la dé-sérialisation d’un document XML spécialement conçu.

La preuve de concept se matérialise sous la forme d’un code en Python. Ce code permet de forger un payload XML et de procéder à l’exécution d’une requête HTTP POST vers un serveur vulnérable spécifié par l’attaquant.


Code d’exploitation
Le code d’exploitation est disponible à l’adresse suivante :
https://www.exploit-db.com/exploits/42394/


Recommandation
Le CERT-XMCO recommande l’application des correctifs disponibles via le mécanisme de mise à jour automatique.


Référence(s)

https://jenkins.io/security/advisory/2016-02-24/

https://leportail.xmco.fr/watch/advisory/CXA-2016-0627
https://leportail.xmco.fr/watch/advisory/CXA-2017-2881

 


Antoine Dumouchel

Analyste CERT-XMCO, Responsable du service de Veille Yuno