Hệ thống Jenkins, công cụ tự động hóa nổi tiếng trong phát triển phần mềm, vừa phát hành bản vá khẩn cấp để xử lý bốn lỗ hổng bảo mật. Các lỗi này có thể bị tin tặc lợi dụng để làm tê liệt dịch vụ hoặc khai thác thông tin cấu hình nhạy cảm. Những quản trị viên đang sử dụng Jenkins bản weekly trước 2.528 hoặc dòng LTS trước 2.516.3 được khuyến cáo nâng cấp ngay lập tức.
Nguy hiểm nhất là lỗ hổng CVE-2025-5115, liên quan đến giao thức HTTP/2 trong Jetty - thành phần web server được tích hợp sẵn trong Jenkins. Khi triển khai Jenkins với cấu hình systemd, phiên bản Jetty cũ dễ bị tấn công từ xa theo kỹ thuật “MadeYouReset”. Kẻ tấn công không cần tài khoản vẫn có thể gửi các gói dữ liệu độc hại để chiếm hết tài nguyên máy chủ, khiến Jenkins sập hoàn toàn. Đây là lỗi có điểm CVSS cao (7,5) và được đánh giá mức độ nghiêm trọng cao. Bản vá đã nâng cấp Jetty lên 12.0.25 để loại bỏ nguy cơ này. Với ai chưa thể cập nhật ngay, giải pháp tạm thời là tắt hỗ trợ HTTP/2.
Hai lỗ hổng khác, CVE-2025-59474 và CVE-2025-59475, có mức nguy hiểm trung bình nhưng vẫn đáng lo ngại. Trong một số phần giao diện, Jenkins không kiểm tra đúng quyền truy cập. Điều này cho phép:
Lỗ hổng cuối cùng, CVE-2025-59476, cho phép kẻ xấu chèn ký tự đặc biệt hoặc mã Unicode vào log của Jenkins. Khi đó, các dòng nhật ký có thể bị giả mạo, khiến đội ngũ quản trị khó phân biệt đâu là sự kiện thật, đâu là nội dung giả mạo. Đây là mối nguy trong khâu ứng phó sự cố, bởi log là “bằng chứng” quan trọng để điều tra tấn công.
Các lỗ hổng lần này được phát hiện bởi các chuyên gia từ CloudBees, Stackhopper Security và IBM Cloud Red Team. Phạm vi ảnh hưởng trải dài từ các doanh nghiệp nhỏ đến tập đoàn lớn, bởi Jenkins là nền tảng CI/CD phổ biến hàng đầu thế giới.
Khuyến cáo cho quản trị viên:
Nguy hiểm nhất là lỗ hổng CVE-2025-5115, liên quan đến giao thức HTTP/2 trong Jetty - thành phần web server được tích hợp sẵn trong Jenkins. Khi triển khai Jenkins với cấu hình systemd, phiên bản Jetty cũ dễ bị tấn công từ xa theo kỹ thuật “MadeYouReset”. Kẻ tấn công không cần tài khoản vẫn có thể gửi các gói dữ liệu độc hại để chiếm hết tài nguyên máy chủ, khiến Jenkins sập hoàn toàn. Đây là lỗi có điểm CVSS cao (7,5) và được đánh giá mức độ nghiêm trọng cao. Bản vá đã nâng cấp Jetty lên 12.0.25 để loại bỏ nguy cơ này. Với ai chưa thể cập nhật ngay, giải pháp tạm thời là tắt hỗ trợ HTTP/2.
Hai lỗ hổng khác, CVE-2025-59474 và CVE-2025-59475, có mức nguy hiểm trung bình nhưng vẫn đáng lo ngại. Trong một số phần giao diện, Jenkins không kiểm tra đúng quyền truy cập. Điều này cho phép:
- Người lạ (không đăng nhập) có thể liệt kê tên các máy “agent” trong hệ thống.
- Người dùng ít quyền có thể nhìn thấy gợi ý về các plugin đang cài, ví dụ plugin quản lý mật khẩu.
Lỗ hổng cuối cùng, CVE-2025-59476, cho phép kẻ xấu chèn ký tự đặc biệt hoặc mã Unicode vào log của Jenkins. Khi đó, các dòng nhật ký có thể bị giả mạo, khiến đội ngũ quản trị khó phân biệt đâu là sự kiện thật, đâu là nội dung giả mạo. Đây là mối nguy trong khâu ứng phó sự cố, bởi log là “bằng chứng” quan trọng để điều tra tấn công.
Khuyến cáo cho quản trị viên:
- Cập nhật ngay Jenkins lên bản mới nhất: weekly 2.528 hoặc LTS 2.516.3.
- Nếu chưa thể cập nhật, ít nhất hãy tắt HTTP/2 để tránh nguy cơ DoS.
- Hạn chế quyền truy cập log và dùng trình xem log có khả năng phát hiện ký tự bất thường.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối: