প্রায় 45,000 ইন্টারনেট-উন্মোচিত জেনকিন্স সার্ভারগুলি একটি সমালোচনামূলক, সম্প্রতি প্রকাশ করা নির্বিচারে ফাইল-পড়া দুর্বলতার বিরুদ্ধে আনপ্যাচ রয়ে গেছে যার জন্য প্রমাণ-অফ-শোষণ কোড এখন সর্বজনীনভাবে উপলব্ধ।
জন্য CVE-2024-23897 অন্তর্নির্মিত জেনকিন্স কমান্ড লাইন ইন্টারফেস (CLI) কে প্রভাবিত করে এবং প্রভাবিত সিস্টেমে দূরবর্তী কোড কার্যকর করতে পারে। জেনকিন্স অবকাঠামো দল দুর্বলতা প্রকাশ করেছে এবং 24 জানুয়ারি আপডেট সংস্করণ সফ্টওয়্যার প্রকাশ করেছে।
প্রুফ-অফ-কনসেপ্ট এক্সপ্লয়েটস
তখন থেকে, ধারণার প্রমাণ (PoC) শোষণ কোড ত্রুটির জন্য উপলব্ধ হয়ে গেছে এবং আক্রমণকারীদের কিছু রিপোর্ট আছে সক্রিয়ভাবে শোষণ করার চেষ্টা করছে এটা 29 জানুয়ারী, অলাভজনক শ্যাডো সার্ভার সংস্থা, যা দূষিত কার্যকলাপের জন্য ইন্টারনেটের উপর নজরদারি করে, প্রায় 45,000 পর্যবেক্ষক রিপোর্ট জেনকিন্সের ইন্টারনেট-উন্মুক্ত দৃষ্টান্ত যা CVE-2024-23897-এর জন্য ঝুঁকিপূর্ণ। প্রায় 12,000 ঝুঁকিপূর্ণ দৃষ্টান্ত মার্কিন যুক্তরাষ্ট্রে অবস্থিত; শ্যাডো সার্ভারের তথ্য অনুসারে চীনের প্রায় অনেক দুর্বল সিস্টেম রয়েছে।
অনেক এন্টারপ্রাইজ সফটওয়্যার ডেভেলপমেন্ট টিম জেনকিন্স ব্যবহার করে অ্যাপ্লিকেশন তৈরি, পরীক্ষা এবং স্থাপন করতে। জেনকিন্স সফ্টওয়্যার ডেভেলপমেন্ট প্রক্রিয়া চলাকালীন সংস্থাগুলিকে পুনরাবৃত্তিমূলক কাজগুলিকে স্বয়ংক্রিয় করার অনুমতি দেয় — যেমন টেস্টিং, কোডের গুণমান পরীক্ষা, নিরাপত্তা স্ক্যানিং এবং স্থাপনা — সফ্টওয়্যার বিকাশ প্রক্রিয়া চলাকালীন। জেনকিন্স প্রায়ই ক্রমাগত একীকরণ এবং ক্রমাগত স্থাপনার পরিবেশে ব্যবহৃত হয়।
বিকাশকারীরা একটি স্ক্রিপ্ট বা শেল পরিবেশ থেকে জেনকিন্স অ্যাক্সেস এবং পরিচালনা করতে জেনকিন্স CLI ব্যবহার করে। CVE-2024-23897 একটি CLI কমান্ড পার্সার বৈশিষ্ট্যে উপস্থিত রয়েছে যা জেনকিন্স সংস্করণ 2.441 এবং পূর্ববর্তী এবং Jenkins LTS 2.426.2 এবং পূর্ববর্তী সংস্করণে ডিফল্টরূপে সক্রিয় করা হয়েছে।
"এটি আক্রমণকারীদের জেনকিন্স কন্ট্রোলার প্রক্রিয়ার ডিফল্ট ক্যারেক্টার এনকোডিং ব্যবহার করে জেনকিন্স কন্ট্রোলার ফাইল সিস্টেমে নির্বিচারে ফাইল পড়তে দেয়," জেনকিন্স দল বলেছে 24 জানুয়ারী উপদেষ্টা. ত্রুটিটি একটি আক্রমণকারীকে সামগ্রিক/পড়ার অনুমতি দিয়ে — এমন কিছু যা বেশিরভাগ জেনকিন্স ব্যবহারকারীদের প্রয়োজন হবে — সম্পূর্ণ ফাইলগুলি পড়তে। সেই অনুমতি ব্যতীত একজন আক্রমণকারী এখনও ফাইলের প্রথম কয়েকটি লাইন পড়তে সক্ষম হবে, জেনকিন্স দল পরামর্শে বলেছে।
RCE এর জন্য একাধিক ভেক্টর
দুর্বলতা জেনকিন্সের বিভিন্ন বৈশিষ্ট্য যেমন শংসাপত্র সঞ্চয়স্থান, আর্টিফ্যাক্ট সাইনিং, এনক্রিপশন এবং ডিক্রিপশন এবং সুরক্ষিত যোগাযোগের জন্য ব্যবহৃত ক্রিপ্টোগ্রাফিক কী সমন্বিত বাইনারি ফাইলগুলিকে ঝুঁকিতে ফেলে। এমন পরিস্থিতিতে যেখানে একজন আক্রমণকারী বাইনারি ফাইল থেকে ক্রিপ্টোগ্রাফিক কীগুলি পাওয়ার দুর্বলতাকে কাজে লাগাতে পারে, সেখানে একাধিক আক্রমণ সম্ভব, জেনকিন্সের পরামর্শে সতর্ক করা হয়েছে। এর মধ্যে রয়েছে রিমোট কোড এক্সিকিউশন (RCE) আক্রমণ যখন রিসোর্স রুট ইউআরএল ফাংশন সক্রিয় থাকে; "আমাকে মনে রেখো" কুকির মাধ্যমে RCE; ক্রস-সাইট স্ক্রিপ্টিং আক্রমণের মাধ্যমে RCE; এবং দূরবর্তী কোড আক্রমণ যা ক্রস-সাইট অনুরোধ জালিয়াতি সুরক্ষা বাইপাস, উপদেষ্টা বলেন.
আক্রমণকারীরা যখন CVE-2024-23897 এর মাধ্যমে বাইনারি ফাইলগুলিতে ক্রিপ্টোগ্রাফিক কীগুলি অ্যাক্সেস করতে পারে তখন তারা জেনকিন্সে সংরক্ষিত গোপনীয়তাগুলি ডিক্রিপ্ট করতে পারে, ডেটা মুছে ফেলতে পারে বা জাভা হিপ ডাম্প ডাউনলোড করতে পারে, জেনকিন্স দল বলেছে।
সোনারসোর্সের গবেষকরা যারা দুর্বলতা আবিষ্কার করেছেন এবং জেনকিন্স দলকে রিপোর্ট করেছেন দুর্বলতা বর্ণনা করেছেন এমনকি অপ্রমাণিত ব্যবহারকারীদেরও কিছু শর্তের অধীনে জেনকিন্সে অন্তত পড়ার অনুমতি দেওয়ার অনুমতি দেয়। এর মধ্যে অন্তর্ভুক্ত থাকতে পারে লিগ্যাসি মোড অনুমোদন সক্ষম করা, অথবা যদি সার্ভারটি বেনামী পড়ার অ্যাক্সেসের অনুমতি দেওয়ার জন্য কনফিগার করা হয়, বা সাইন-আপ বৈশিষ্ট্যটি সক্ষম করা থাকে।
ইয়ানিভ নিজরি, সোনার নিরাপত্তা গবেষক যিনি দুর্বলতা আবিষ্কার করেছেন, তিনি নিশ্চিত করেছেন যে অন্যান্য গবেষকরা ত্রুটিটি পুনরুত্পাদন করতে সক্ষম হয়েছেন এবং তাদের একটি কার্যকরী PoC আছে।
"যেহেতু একটি নির্দিষ্ট পরিমাণে অপ্রমাণিত দুর্বলতাকে কাজে লাগানো সম্ভব, তাই দুর্বল সিস্টেমগুলি আবিষ্কার করা খুব সহজ," Nizry নোট করে৷ "শোষণের বিষয়ে, যদি একজন আক্রমণকারী কোড এক্সিকিউশনের জন্য পঠিত নির্বিচারে ফাইলটিকে উন্নত করতে আগ্রহী হয়, তবে এর জন্য জেনকিন্স এবং নির্দিষ্ট উদাহরণের কিছু গভীর বোঝার প্রয়োজন হবে। বৃদ্ধির জটিলতা প্রেক্ষাপটের উপর নির্ভরশীল।"
নতুন জেনকিন্স সংস্করণ 2.442 এবং LTS সংস্করণ 2.426.3 দুর্বলতার সমাধান করে। যে সংস্থাগুলি অবিলম্বে আপগ্রেড করতে পারে না তাদের শোষণ প্রতিরোধের জন্য CLI অ্যাক্সেস অক্ষম করা উচিত, পরামর্শে বলা হয়েছে। জেনকিন্স 2.442, LTS 2.426.3-তে অবিলম্বে আপডেট করতে অক্ষম প্রশাসকদের জন্য এটি করার জন্য দৃঢ়ভাবে সুপারিশ করা হয়। এই সমাধানটি প্রয়োগ করার জন্য জেনকিন্স পুনরায় চালু করার প্রয়োজন নেই।"
এখন প্যাচ
ক্রিটিক্যাল স্টার্টের সাইবার-থ্রেট ইন্টেলিজেন্স রিসার্চ বিশ্লেষক সারা জোনস বলেছেন, জেনকিন্স ব্যবহারকারী প্রতিষ্ঠানগুলো দুর্বলতাকে উপেক্ষা না করাই ভালো। "ঝুঁকিগুলির মধ্যে রয়েছে ডেটা চুরি, সিস্টেম আপস, বিঘ্নিত পাইপলাইন এবং আপস করা সফ্টওয়্যার রিলিজের সম্ভাবনা," জোন্স বলেছেন।
উদ্বেগের একটি কারণ হল যে জেনকিন্সের মতো DevOps সরঞ্জামগুলিতে প্রায়শই সমালোচনামূলক এবং সংবেদনশীল ডেটা থাকতে পারে যা বিকাশকারীরা নতুন অ্যাপ্লিকেশন তৈরি বা বিকাশ করার সময় উত্পাদন পরিবেশ থেকে আনতে পারে। গত বছর একটি ঘটনা ঘটেছিল যখন একজন নিরাপত্তা গবেষক একটি নথি সম্বলিত খুঁজে পান TSA এর নো-ফ্লাই তালিকায় 1.5 মিলিয়ন ব্যক্তি ওহাইও-ভিত্তিক কম্যুটএয়ারের অন্তর্গত জেনকিন্স সার্ভারে অরক্ষিত অবস্থায় বসে আছে।
"তাত্ক্ষণিক প্যাচিং অত্যন্ত গুরুত্বপূর্ণ; জেনকিন্স সংস্করণ 2.442 বা তার পরে (নন-এলটিএস) বা 2.427 বা তার পরবর্তী (এলটিএস) ঠিকানাগুলি CVE-2024-23897 এ আপগ্রেড করা,” জোন্স বলেছেন। একটি সাধারণ অনুশীলন হিসাবে তিনি সুপারিশ করেন যে উন্নয়ন সংস্থাগুলি অ্যাক্সেস সীমিত করার জন্য একটি ন্যূনতম বিশেষাধিকার মডেল প্রয়োগ করে এবং সন্দেহজনক কার্যকলাপের জন্য দুর্বলতা স্ক্যানিং এবং অবিচ্ছিন্ন পর্যবেক্ষণও করে। জোন্স যোগ করেছেন: "অতিরিক্ত, বিকাশকারী এবং প্রশাসকদের মধ্যে নিরাপত্তা সচেতনতা প্রচার করা সামগ্রিক নিরাপত্তা ভঙ্গিকে শক্তিশালী করে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- : আছে
- : হয়
- :না
- :কোথায়
- 000
- 12
- 24
- 29
- 7
- a
- সক্ষম
- প্রবেশ
- অনুযায়ী
- ক্রিয়াকলাপ
- কার্যকলাপ
- উপরন্তু
- ঠিকানা
- ঠিকানাগুলি
- যোগ করে
- অ্যাডমিনিস্ট্রেটররা
- উপদেশক
- আক্রান্ত
- বিরুদ্ধে
- অনুমতি
- অনুমতি
- অনুমতি
- প্রায়
- এছাড়াও
- মধ্যে
- an
- বিশ্লেষক
- এবং
- নামবিহীন
- অ্যাপ্লিকেশন
- প্রয়োগ করা হচ্ছে
- রয়েছি
- কাছাকাছি
- AS
- At
- আক্রমন
- প্রচেষ্টা
- অনুমোদন
- স্বয়ংক্রিয় পদ্ধতি প্রয়োগ করা
- সহজলভ্য
- সচেতনতা
- BE
- পরিণত
- হয়েছে
- একাত্মতার
- আনা
- নির্মাণ করা
- ভবন
- বিল্ট-ইন
- by
- পার্শ্বপথ
- CAN
- না পারেন
- কেস
- কিছু
- চরিত্র
- চেক
- চীন
- কোড
- যোগাযোগমন্ত্রী
- জটিলতা
- আপস
- সংকটাপন্ন
- উদ্বেগ
- পরিবেশ
- কনফিগার
- ধারণ করা
- প্রসঙ্গ
- একটানা
- নিয়ামক
- ক্রেডিটেনটিয়াল
- সংকটপূর্ণ
- কঠোর
- ক্রিপ্টোগ্রাফিক
- উপাত্ত
- ডিক্রিপ্ট করুন
- গভীর
- ডিফল্ট
- নির্ভরশীল
- স্থাপন
- বিস্তৃতি
- ডেভেলপারদের
- উন্নয়নশীল
- উন্নয়ন
- উন্নয়ন দল
- আবিষ্কার করা
- আবিষ্কৃত
- বিঘ্নিত
- do
- দলিল
- না
- করছেন
- ডাউনলোড
- মনমরা ভাব
- সময়
- পূর্বে
- সহজ
- elevating
- সক্ষম করা
- এনকোডিং
- এনক্রিপশন
- উদ্যোগ
- এন্টারপ্রাইজ সফটওয়্যার
- সমগ্র
- পরিবেশ
- পরিবেশের
- তীব্রতাবৃদ্ধি
- এমন কি
- ফাঁসি
- কাজে লাগান
- শোষণ
- কীর্তিকলাপ
- ব্যাপ্তি
- সত্য
- বৈশিষ্ট্য
- বৈশিষ্ট্য
- কয়েক
- ফাইল
- নথি পত্র
- প্রথম
- ত্রুটি
- জন্য
- জালিয়াতি
- পাওয়া
- থেকে
- ক্রিয়া
- সাধারণ
- আছে
- জমিদারি
- HTTPS দ্বারা
- if
- উপেক্ষা করা
- আশু
- অবিলম্বে
- বাস্তবায়ন
- in
- অন্তর্ভুক্ত করা
- ব্যক্তি
- পরিকাঠামো
- উদাহরণ
- ইন্টিগ্রেশন
- বুদ্ধিমত্তা
- আগ্রহী
- ইন্টারফেস
- Internet
- IT
- জানুয়ারি
- জাভা
- জোনস
- JPG
- কী
- গত
- গত বছর
- পরে
- নেতৃত্ব
- অন্তত
- উত্তরাধিকার
- সীমিত
- লাইন
- লাইন
- অবস্থিত
- বিদ্বেষপরায়ণ
- পরিচালনা করা
- অনেক
- me
- হতে পারে
- মিলিয়ন
- মোড
- মডেল
- পর্যবেক্ষণ
- মনিটর
- সেতু
- বহু
- প্রায়
- নতুন
- আয়হীন
- নোট
- এখন
- প্রাপ্ত
- ঘটেছে
- of
- প্রায়ই
- on
- or
- সংগঠন
- সংগঠন
- অন্যান্য
- সামগ্রিক
- প্যাচিং
- অনুমতি
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- POC
- বিন্দু
- সম্ভব
- সম্ভাব্য
- অনুশীলন
- বর্তমান
- প্রতিরোধ
- প্রক্রিয়া
- উত্পাদনের
- প্রচার
- প্রকাশ্যে
- রাখে
- গুণ
- পড়া
- কারণ
- সম্প্রতি
- সুপারিশ করা
- বিশেষ পরামর্শ দেওয়া হচ্ছে
- সংক্রান্ত
- মুক্ত
- রিলিজ
- থাকা
- মনে রাখা
- দূরবর্তী
- পুনরাবৃত্তিমূলক
- রিপোর্ট
- প্রতিবেদন
- অনুরোধ
- প্রয়োজন
- গবেষণা
- গবেষক
- গবেষকরা
- সংস্থান
- ঝুঁকি
- ঝুঁকি
- শিকড়
- s
- বলেছেন
- বলেছেন
- স্ক্যানিং
- লিপি
- অন্ধিসন্ধি
- নিরাপদ
- নিরাপত্তা
- নিরাপত্তা সচেতনতা
- সংবেদনশীল
- সার্ভার
- সার্ভারের
- সে
- খোল
- উচিত
- স্বাক্ষর
- থেকে
- অধিবেশন
- পরিস্থিতিতে
- So
- সফটওয়্যার
- সফটওয়্যার উন্নয়ন
- কিছু
- কিছু
- নির্দিষ্ট
- শুরু
- এখনো
- স্টোরেজ
- সঞ্চিত
- শক্তিশালী
- প্রবলভাবে
- এমন
- সন্দেহজনক
- পদ্ধতি
- সিস্টেম
- কাজ
- টীম
- দল
- পরীক্ষা
- পরীক্ষামূলক
- যে
- সার্জারির
- চুরি
- তারপর
- সেখানে।
- এইগুলো
- তারা
- এই
- দ্বারা
- থেকে
- সরঞ্জাম
- অক্ষম
- অধীনে
- বোধশক্তি
- আপডেট
- আপডেট
- আপগ্রেড
- URL টি
- us
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহার
- বিভিন্ন
- সংস্করণ
- সংস্করণ
- খুব
- মাধ্যমে
- দুর্বলতা
- দুর্বলতা স্ক্যানিং
- জেয়
- সতর্ক
- আমরা একটি
- কখন
- যে
- হু
- সঙ্গে
- ছাড়া
- কাজ
- would
- বছর
- zephyrnet