PoC সমালোচনামূলক নতুন জেনকিন্স ভলনের চারপাশে ঝুঁকি বাড়ায়

PoC সমালোচনামূলক নতুন জেনকিন্স ভলনের চারপাশে ঝুঁকি বাড়ায়

সময় স্ট্যাম্প: 29 জানুয়ারী, 2024 4:55 অপরাহ্ন
PoC ক্রিটিক্যাল নিউ জেনকিন্স ভলন প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্সের চারপাশে ঝুঁকি বাড়ায়। উল্লম্ব অনুসন্ধান. আ.

প্রায় 45,000 ইন্টারনেট-উন্মোচিত জেনকিন্স সার্ভারগুলি একটি সমালোচনামূলক, সম্প্রতি প্রকাশ করা নির্বিচারে ফাইল-পড়া দুর্বলতার বিরুদ্ধে আনপ্যাচ রয়ে গেছে যার জন্য প্রমাণ-অফ-শোষণ কোড এখন সর্বজনীনভাবে উপলব্ধ।

জন্য CVE-2024-23897 অন্তর্নির্মিত জেনকিন্স কমান্ড লাইন ইন্টারফেস (CLI) কে প্রভাবিত করে এবং প্রভাবিত সিস্টেমে দূরবর্তী কোড কার্যকর করতে পারে। জেনকিন্স অবকাঠামো দল দুর্বলতা প্রকাশ করেছে এবং 24 জানুয়ারি আপডেট সংস্করণ সফ্টওয়্যার প্রকাশ করেছে।

প্রুফ-অফ-কনসেপ্ট এক্সপ্লয়েটস

তখন থেকে, ধারণার প্রমাণ (PoC) শোষণ কোড ত্রুটির জন্য উপলব্ধ হয়ে গেছে এবং আক্রমণকারীদের কিছু রিপোর্ট আছে সক্রিয়ভাবে শোষণ করার চেষ্টা করছে এটা 29 জানুয়ারী, অলাভজনক শ্যাডো সার্ভার সংস্থা, যা দূষিত কার্যকলাপের জন্য ইন্টারনেটের উপর নজরদারি করে, প্রায় 45,000 পর্যবেক্ষক রিপোর্ট জেনকিন্সের ইন্টারনেট-উন্মুক্ত দৃষ্টান্ত যা CVE-2024-23897-এর জন্য ঝুঁকিপূর্ণ। প্রায় 12,000 ঝুঁকিপূর্ণ দৃষ্টান্ত মার্কিন যুক্তরাষ্ট্রে অবস্থিত; শ্যাডো সার্ভারের তথ্য অনুসারে চীনের প্রায় অনেক দুর্বল সিস্টেম রয়েছে।

অনেক এন্টারপ্রাইজ সফটওয়্যার ডেভেলপমেন্ট টিম জেনকিন্স ব্যবহার করে অ্যাপ্লিকেশন তৈরি, পরীক্ষা এবং স্থাপন করতে। জেনকিন্স সফ্টওয়্যার ডেভেলপমেন্ট প্রক্রিয়া চলাকালীন সংস্থাগুলিকে পুনরাবৃত্তিমূলক কাজগুলিকে স্বয়ংক্রিয় করার অনুমতি দেয় — যেমন টেস্টিং, কোডের গুণমান পরীক্ষা, নিরাপত্তা স্ক্যানিং এবং স্থাপনা — সফ্টওয়্যার বিকাশ প্রক্রিয়া চলাকালীন। জেনকিন্স প্রায়ই ক্রমাগত একীকরণ এবং ক্রমাগত স্থাপনার পরিবেশে ব্যবহৃত হয়।

বিকাশকারীরা একটি স্ক্রিপ্ট বা শেল পরিবেশ থেকে জেনকিন্স অ্যাক্সেস এবং পরিচালনা করতে জেনকিন্স CLI ব্যবহার করে। CVE-2024-23897 একটি CLI কমান্ড পার্সার বৈশিষ্ট্যে উপস্থিত রয়েছে যা জেনকিন্স সংস্করণ 2.441 এবং পূর্ববর্তী এবং Jenkins LTS 2.426.2 এবং পূর্ববর্তী সংস্করণে ডিফল্টরূপে সক্রিয় করা হয়েছে।

"এটি আক্রমণকারীদের জেনকিন্স কন্ট্রোলার প্রক্রিয়ার ডিফল্ট ক্যারেক্টার এনকোডিং ব্যবহার করে জেনকিন্স কন্ট্রোলার ফাইল সিস্টেমে নির্বিচারে ফাইল পড়তে দেয়," জেনকিন্স দল বলেছে 24 জানুয়ারী উপদেষ্টা. ত্রুটিটি একটি আক্রমণকারীকে সামগ্রিক/পড়ার অনুমতি দিয়ে — এমন কিছু যা বেশিরভাগ জেনকিন্স ব্যবহারকারীদের প্রয়োজন হবে — সম্পূর্ণ ফাইলগুলি পড়তে। সেই অনুমতি ব্যতীত একজন আক্রমণকারী এখনও ফাইলের প্রথম কয়েকটি লাইন পড়তে সক্ষম হবে, জেনকিন্স দল পরামর্শে বলেছে।

RCE এর জন্য একাধিক ভেক্টর

দুর্বলতা জেনকিন্সের বিভিন্ন বৈশিষ্ট্য যেমন শংসাপত্র সঞ্চয়স্থান, আর্টিফ্যাক্ট সাইনিং, এনক্রিপশন এবং ডিক্রিপশন এবং সুরক্ষিত যোগাযোগের জন্য ব্যবহৃত ক্রিপ্টোগ্রাফিক কী সমন্বিত বাইনারি ফাইলগুলিকে ঝুঁকিতে ফেলে। এমন পরিস্থিতিতে যেখানে একজন আক্রমণকারী বাইনারি ফাইল থেকে ক্রিপ্টোগ্রাফিক কীগুলি পাওয়ার দুর্বলতাকে কাজে লাগাতে পারে, সেখানে একাধিক আক্রমণ সম্ভব, জেনকিন্সের পরামর্শে সতর্ক করা হয়েছে। এর মধ্যে রয়েছে রিমোট কোড এক্সিকিউশন (RCE) আক্রমণ যখন রিসোর্স রুট ইউআরএল ফাংশন সক্রিয় থাকে; "আমাকে মনে রেখো" কুকির মাধ্যমে RCE; ক্রস-সাইট স্ক্রিপ্টিং আক্রমণের মাধ্যমে RCE; এবং দূরবর্তী কোড আক্রমণ যা ক্রস-সাইট অনুরোধ জালিয়াতি সুরক্ষা বাইপাস, উপদেষ্টা বলেন.

আক্রমণকারীরা যখন CVE-2024-23897 এর মাধ্যমে বাইনারি ফাইলগুলিতে ক্রিপ্টোগ্রাফিক কীগুলি অ্যাক্সেস করতে পারে তখন তারা জেনকিন্সে সংরক্ষিত গোপনীয়তাগুলি ডিক্রিপ্ট করতে পারে, ডেটা মুছে ফেলতে পারে বা জাভা হিপ ডাম্প ডাউনলোড করতে পারে, জেনকিন্স দল বলেছে।

সোনারসোর্সের গবেষকরা যারা দুর্বলতা আবিষ্কার করেছেন এবং জেনকিন্স দলকে রিপোর্ট করেছেন দুর্বলতা বর্ণনা করেছেন এমনকি অপ্রমাণিত ব্যবহারকারীদেরও কিছু শর্তের অধীনে জেনকিন্সে অন্তত পড়ার অনুমতি দেওয়ার অনুমতি দেয়। এর মধ্যে অন্তর্ভুক্ত থাকতে পারে লিগ্যাসি মোড অনুমোদন সক্ষম করা, অথবা যদি সার্ভারটি বেনামী পড়ার অ্যাক্সেসের অনুমতি দেওয়ার জন্য কনফিগার করা হয়, বা সাইন-আপ বৈশিষ্ট্যটি সক্ষম করা থাকে।

ইয়ানিভ নিজরি, সোনার নিরাপত্তা গবেষক যিনি দুর্বলতা আবিষ্কার করেছেন, তিনি নিশ্চিত করেছেন যে অন্যান্য গবেষকরা ত্রুটিটি পুনরুত্পাদন করতে সক্ষম হয়েছেন এবং তাদের একটি কার্যকরী PoC আছে।

"যেহেতু একটি নির্দিষ্ট পরিমাণে অপ্রমাণিত দুর্বলতাকে কাজে লাগানো সম্ভব, তাই দুর্বল সিস্টেমগুলি আবিষ্কার করা খুব সহজ," Nizry নোট করে৷ "শোষণের বিষয়ে, যদি একজন আক্রমণকারী কোড এক্সিকিউশনের জন্য পঠিত নির্বিচারে ফাইলটিকে উন্নত করতে আগ্রহী হয়, তবে এর জন্য জেনকিন্স এবং নির্দিষ্ট উদাহরণের কিছু গভীর বোঝার প্রয়োজন হবে। বৃদ্ধির জটিলতা প্রেক্ষাপটের উপর নির্ভরশীল।"

নতুন জেনকিন্স সংস্করণ 2.442 এবং LTS সংস্করণ 2.426.3 দুর্বলতার সমাধান করে। যে সংস্থাগুলি অবিলম্বে আপগ্রেড করতে পারে না তাদের শোষণ প্রতিরোধের জন্য CLI অ্যাক্সেস অক্ষম করা উচিত, পরামর্শে বলা হয়েছে। জেনকিন্স 2.442, LTS 2.426.3-তে অবিলম্বে আপডেট করতে অক্ষম প্রশাসকদের জন্য এটি করার জন্য দৃঢ়ভাবে সুপারিশ করা হয়। এই সমাধানটি প্রয়োগ করার জন্য জেনকিন্স পুনরায় চালু করার প্রয়োজন নেই।"

এখন প্যাচ

ক্রিটিক্যাল স্টার্টের সাইবার-থ্রেট ইন্টেলিজেন্স রিসার্চ বিশ্লেষক সারা জোনস বলেছেন, জেনকিন্স ব্যবহারকারী প্রতিষ্ঠানগুলো দুর্বলতাকে উপেক্ষা না করাই ভালো। "ঝুঁকিগুলির মধ্যে রয়েছে ডেটা চুরি, সিস্টেম আপস, বিঘ্নিত পাইপলাইন এবং আপস করা সফ্টওয়্যার রিলিজের সম্ভাবনা," জোন্স বলেছেন।

উদ্বেগের একটি কারণ হল যে জেনকিন্সের মতো DevOps সরঞ্জামগুলিতে প্রায়শই সমালোচনামূলক এবং সংবেদনশীল ডেটা থাকতে পারে যা বিকাশকারীরা নতুন অ্যাপ্লিকেশন তৈরি বা বিকাশ করার সময় উত্পাদন পরিবেশ থেকে আনতে পারে। গত বছর একটি ঘটনা ঘটেছিল যখন একজন নিরাপত্তা গবেষক একটি নথি সম্বলিত খুঁজে পান TSA এর নো-ফ্লাই তালিকায় 1.5 মিলিয়ন ব্যক্তি ওহাইও-ভিত্তিক কম্যুটএয়ারের অন্তর্গত জেনকিন্স সার্ভারে অরক্ষিত অবস্থায় বসে আছে।

"তাত্ক্ষণিক প্যাচিং অত্যন্ত গুরুত্বপূর্ণ; জেনকিন্স সংস্করণ 2.442 বা তার পরে (নন-এলটিএস) বা 2.427 বা তার পরবর্তী (এলটিএস) ঠিকানাগুলি CVE-2024-23897 এ আপগ্রেড করা,” জোন্স বলেছেন। একটি সাধারণ অনুশীলন হিসাবে তিনি সুপারিশ করেন যে উন্নয়ন সংস্থাগুলি অ্যাক্সেস সীমিত করার জন্য একটি ন্যূনতম বিশেষাধিকার মডেল প্রয়োগ করে এবং সন্দেহজনক কার্যকলাপের জন্য দুর্বলতা স্ক্যানিং এবং অবিচ্ছিন্ন পর্যবেক্ষণও করে। জোন্স যোগ করেছেন: "অতিরিক্ত, বিকাশকারী এবং প্রশাসকদের মধ্যে নিরাপত্তা সচেতনতা প্রচার করা সামগ্রিক নিরাপত্তা ভঙ্গিকে শক্তিশালী করে।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া

ক্রিপ্টোকারেন্সি এক্সচেঞ্জের প্রতিষ্ঠাতা এবং সংখ্যাগরিষ্ঠ মালিক $700 মিলিয়নের বেশি অবৈধ তহবিল প্রক্রিয়াকরণের অভিযোগে অভিযুক্ত

উত্স ক্লাস্টার:
উত্স নোড: 1788828
সময় স্ট্যাম্প: জানুয়ারী 18, 2023

সাটোরি ইউনিভার্সাল ডেটা পারমিশন স্ক্যানার উন্মোচন করেছে, একটি বিনামূল্যের ওপেন-সোর্স টুল যা ডেটা অ্যাক্সেস অনুমোদনের উপর আলোকপাত করে

উত্স ক্লাস্টার:
উত্স নোড: 1832923
সময় স্ট্যাম্প: 5 পারে, 2023