PoC udnytter øger risici omkring kritiske nye Jenkins Vuln

PoC udnytter øger risici omkring kritiske nye Jenkins Vuln

Tidsstempel: 29. januar 2024 4:55
PoC Exploits Heighten Risks Around Critical New Jenkins Vuln PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Omkring 45,000 internet-eksponerede Jenkins-servere forbliver upatchede mod en kritisk, nyligt afsløret vilkårlig fil-læse sårbarhed, for hvilken proof-of-exploit-kode nu er offentligt tilgængelig.

CVE-2024-23897 påvirker den indbyggede Jenkins kommandolinjegrænseflade (CLI) og kan føre til fjernudførelse af kode på berørte systemer. Jenkins infrastrukturteam afslørede sårbarheden og udgav opdateret version af software den 24. januar.

Proof-of-Concept-udnyttelse

Siden proof-of-concept (PoC) udnyttelse kode er blevet tilgængelig for fejlen, og der er nogle rapporter om angribere aktivt forsøger at udnytte det. Den 29. januar, nonprofit-organisationen ShadowServer, som overvåger internettet for ondsindet aktivitet, rapporterede at observere omkring 45,000 Internet-eksponerede forekomster af Jenkins, der er sårbare over for CVE-2024-23897. Næsten 12,000 af de sårbare tilfælde er placeret i USA; Kina har næsten lige så mange sårbare systemer ifølge ShadowServer-data.

Mange virksomhedssoftwareudviklingsteams bruger Jenkins til at bygge, teste og implementere applikationer. Jenkins giver organisationer mulighed for at automatisere gentagne opgaver under softwareudvikling - såsom test, kodekvalitetstjek, sikkerhedsscanning og implementering - under softwareudviklingsprocessen. Jenkins bruges også ofte i miljøer med kontinuerlig integration og kontinuerlig implementering.

Udviklere bruger Jenkins CLI til at få adgang til og administrere Jenkins fra et script eller et shell-miljø. CVE-2024-23897 er til stede i en CLI-kommandoparserfunktion, der er aktiveret som standard på Jenkins version 2.441 og tidligere og Jenkins LTS 2.426.2 og tidligere.

"Dette giver angribere mulighed for at læse vilkårlige filer på Jenkins-controllerens filsystem ved at bruge standardtegnkodningen af ​​Jenkins-controllerprocessen," sagde Jenkins-teamet i 24. januar rådgivende. Fejlen tillader en angriber med samlet/læsetilladelse - noget som de fleste Jenkins-brugere ville kræve - at læse hele filer. En angriber uden den tilladelse ville stadig være i stand til at læse de første par linjer med filer, sagde Jenkins-teamet i meddelelsen.

Flere vektorer til RCE

Sårbarheden sætter også binære filer i fare, der indeholder kryptografiske nøgler, der bruges til forskellige Jenkins-funktioner, såsom lagring af legitimationsoplysninger, artefaktsignering, kryptering og dekryptering og sikker kommunikation. I situationer, hvor en angriber kan udnytte sårbarheden til at få kryptografiske nøgler fra binære filer, er flere angreb mulige, advarede Jenkins-rådgivningen. Disse omfatter RCE-angreb (Remote Code execution), når funktionen Resource Root URL er aktiveret; RCE via "Husk mig"-cookien; RCE gennem cross-site scripting angreb; og fjernkodeangreb, der omgår forfalskning af anmodninger på tværs af websteder, sagde rådgiveren.

Når angribere kan få adgang til kryptografiske nøgler i binære filer via CVE-2024-23897, kan de også dekryptere hemmeligheder gemt i Jenkins, slette data eller downloade en Java heap-dump, sagde Jenkins-teamet.

Forskere fra SonarSource, der opdagede sårbarheden og rapporterede den til Jenkins-teamet beskrev sårbarheden som at tillade selv uautoriserede brugere at have mindst læsetilladelse på Jenkins under visse betingelser. Dette kan omfatte at have aktiveret legacy mode-autorisation, eller hvis serveren er konfigureret til at tillade anonym læseadgang, eller når tilmeldingsfunktionen er aktiveret.

Yaniv Nizry, sikkerhedsforskeren hos Sonar, der opdagede sårbarheden, bekræfter, at andre forskere har været i stand til at genskabe fejlen og have en fungerende PoC.

"Da det er muligt at udnytte sårbarheden uautoriseret, til en vis grad, er det meget nemt at opdage sårbare systemer," bemærker Nizry. "Med hensyn til udnyttelse, hvis en angriber er interesseret i at hæve den vilkårlige fil, der er læst til kodeudførelse, ville det kræve en dybere forståelse af Jenkins og den specifikke instans. Kompleksiteten af ​​eskalering afhænger af konteksten."

Den nye Jenkins version 2.442 og LTS version 2.426.3 adresserer sårbarheden. Organisationer, der ikke umiddelbart kan opgradere, bør deaktivere CLI-adgang for at forhindre udnyttelse, sagde rådgiveren. "Det anbefales på det kraftigste til administratorer, der ikke umiddelbart kan opdatere til Jenkins 2.442, LTS 2.426.3. Anvendelse af denne løsning kræver ikke en Jenkins-genstart."

Patch nu

Sarah Jones, efterretningsanalytiker for cybertrusler hos Critical Start, siger, at organisationer, der bruger Jenkins, gør klogt i ikke at ignorere sårbarheden. "Risici inkluderer datatyveri, systemkompromittering, forstyrrede pipelines og potentialet for kompromitterede softwareudgivelser," siger Jones.

En grund til bekymringen er, at DevOps-værktøjer som Jenkins ofte kan indeholde kritiske og følsomme data, som udviklere kan hente fra produktionsmiljøer, når de bygger eller udvikler nye applikationer. Et eksempel opstod sidste år, da en sikkerhedsforsker fandt et dokument, der indeholdt 1.5 millioner individer på TSA's flyveforbudsliste sidder ubeskyttet på en Jenkins-server, der tilhører Ohio-baserede CommuteAir.

“Umiddelbar patching er afgørende; opgradering til Jenkins version 2.442 eller nyere (ikke-LTS) eller 2.427 eller nyere (LTS) adresser CVE-2024-23897," siger Jones. Som en generel praksis anbefaler hun, at udviklingsorganisationer implementerer en model med mindst privilegium til begrænsning af adgang og også laver sårbarhedsscanning og kontinuerlig overvågning for mistænkelige aktiviteter. Jones tilføjer: "Derudover styrker promovering af sikkerhedsbevidsthed blandt udviklere og administratorer den overordnede sikkerhedsposition."

Tidsstempel:

Mere fra Mørk læsning