حدود 45,000 سرور جنکینز که در معرض اینترنت قرار دارند، در برابر آسیبپذیری مهمی که اخیراً فاش شده برای خواندن فایلهای دلخواه، وصلهنشده باقی میمانند که کد اثبات سوءاستفاده برای آن اکنون در دسترس عموم است.
CVE-2024-23897 رابط خط فرمان داخلی جنکینز (CLI) را تحت تأثیر قرار می دهد و می تواند منجر به اجرای کد از راه دور در سیستم های آسیب دیده شود. تیم زیرساخت جنکینز این آسیب پذیری را فاش کرد و نرم افزار نسخه به روز شده را در 24 ژانویه منتشر کرد.
اکسپلویت های اثبات مفهوم
از آن زمان به بعد، بهره برداری اثبات مفهوم (PoC). کد برای این نقص در دسترس است و برخی گزارشها از مهاجمان وجود دارد فعالانه تلاش برای بهره برداری آی تی. در 29 ژانویه، سازمان غیرانتفاعی ShadowServer که اینترنت را از نظر فعالیت های مخرب نظارت می کند، گزارش شده که حدود 45,000 را مشاهده کرده است مواردی از جنکینز در معرض اینترنت که در برابر CVE-2024-23897 آسیب پذیر هستند. نزدیک به 12,000 مورد از موارد آسیب پذیر در ایالات متحده واقع شده اند. طبق دادههای ShadowServer، چین تقریباً به همان اندازه سیستمهای آسیبپذیر دارد.
بسیاری از تیم های توسعه نرم افزار سازمانی از جنکینز برای ساخت، آزمایش و استقرار برنامه ها استفاده می کنند. جنکینز به سازمانها اجازه میدهد تا وظایف تکراری را در طول توسعه نرمافزار - مانند آزمایش، بررسی کیفیت کد، اسکن امنیتی و استقرار - در طول فرآیند توسعه نرمافزار خودکار کنند. جنکینز همچنین اغلب در محیط های یکپارچه سازی مداوم و استقرار مداوم استفاده می شود.
توسعه دهندگان از Jenkins CLI برای دسترسی و مدیریت Jenkins از یک اسکریپت یا یک محیط پوسته استفاده می کنند. CVE-2024-23897 در یک ویژگی تجزیه کننده فرمان CLI وجود دارد که به طور پیشفرض در نسخههای Jenkins 2.441 و قبلتر و Jenkins LTS 2.426.2 و قبلتر فعال است.
تیم جنکینز در این گزارش گفت: «این به مهاجمان اجازه میدهد تا فایلهای دلخواه را در سیستم فایل کنترلر جنکینز با استفاده از رمزگذاری کاراکتر پیشفرض فرآیند کنترلکننده جنکینز بخوانند». مشاوره 24 ژانویه. این نقص به مهاجمی با مجوز Overall/Read - چیزی که اکثر کاربران Jenkins به آن نیاز دارند - اجازه میدهد تا کل فایلها را بخوانند. تیم جنکینز در مشاوره گفت که مهاجم بدون این مجوز همچنان میتواند چند خط اول فایلها را بخواند.
بردارهای چندگانه برای RCE
این آسیبپذیری همچنین فایلهای باینری حاوی کلیدهای رمزنگاری مورد استفاده برای ویژگیهای مختلف جنکینز، مانند ذخیرهسازی اعتبار، امضای مصنوع، رمزگذاری و رمزگشایی، و ارتباطات امن را در معرض خطر قرار میدهد. مشاوره جنکینز هشدار داد در شرایطی که مهاجم ممکن است از این آسیبپذیری برای به دست آوردن کلیدهای رمزنگاری از فایلهای باینری سوء استفاده کند، حملات متعدد ممکن است. از جمله حملات اجرای کد از راه دور (RCE) زمانی که تابع URL ریشه منبع فعال است. RCE از طریق کوکی "مرا به خاطر بسپار"؛ RCE از طریق حملات اسکریپت بین سایتی. این مشاوره گفت و حملات کد از راه دور که محافظت از جعل درخواست های متقابل سایت را دور می زند.
تیم جنکینز گفت: هنگامی که مهاجمان می توانند از طریق CVE-2024-23897 به کلیدهای رمزنگاری در فایل های باینری دسترسی پیدا کنند، می توانند اسرار ذخیره شده در جنکینز را رمزگشایی کنند، داده ها را حذف کنند یا یک پشته خالی جاوا را دانلود کنند.
محققانی از SonarSource که این آسیبپذیری را کشف کردند و آن را به تیم جنکینز گزارش کردند آسیب پذیری را تشریح کرد به عنوان اجازه می دهد حتی کاربران احراز هویت نشده حداقل مجوز خواندن در Jenkins را تحت شرایط خاص داشته باشند. این می تواند شامل فعال کردن مجوز حالت قدیمی، یا اگر سرور برای اجازه دسترسی خواندن ناشناس پیکربندی شده باشد، یا زمانی که ویژگی ثبت نام فعال است، باشد.
Yaniv Nizry، محقق امنیتی Sonar که این آسیبپذیری را کشف کرده است، تأیید میکند که سایر محققان توانستهاند این نقص را بازتولید کنند و یک PoC کارآمد داشته باشند.
نیزری خاطرنشان می کند: «از آنجایی که امکان سوء استفاده از آسیب پذیری بدون احراز هویت وجود دارد، تا حدی مشخص است، کشف سیستم های آسیب پذیر بسیار آسان است. در مورد بهره برداری، اگر مهاجمی علاقه مند به ارتقاء فایل دلخواه خوانده شده به اجرای کد باشد، به درک عمیق تری از جنکینز و نمونه خاص نیاز دارد. پیچیدگی تشدید به زمینه بستگی دارد.»
نسخه های جدید جنکینز 2.442 و LTS نسخه 2.426.3 آسیب پذیری را برطرف می کنند. در این توصیه نامه آمده است که سازمان هایی که نمی توانند فوراً ارتقاء دهند باید دسترسی CLI را برای جلوگیری از بهره برداری غیرفعال کنند. انجام این کار به مدیرانی که قادر به آپدیت فوری به Jenkins 2.442، LTS 2.426.3 نیستند، اکیداً توصیه می شود. اعمال این راه حل نیازی به راه اندازی مجدد جنکینز ندارد.
Patch Now
سارا جونز، تحلیلگر تحقیقات اطلاعاتی تهدیدات سایبری در Critical Start، میگوید سازمانهایی که از جنکینز استفاده میکنند بهتر است این آسیبپذیری را نادیده نگیرند. جونز میگوید: «خطرات شامل سرقت دادهها، به خطر افتادن سیستم، اختلال در خطوط لوله و احتمال انتشار نرمافزار به خطر افتاده است.
یکی از دلایل نگرانی این واقعیت است که ابزارهای DevOps مانند Jenkins اغلب میتوانند حاوی دادههای حساس و حساسی باشند که توسعهدهندگان ممکن است از محیطهای تولید در هنگام ساخت یا توسعه برنامههای کاربردی جدید وارد کنند. یک مورد در سال گذشته زمانی رخ داد که یک محقق امنیتی سندی را پیدا کرد که حاوی آن بود 1.5 میلیون نفر در لیست پرواز ممنوع TSA بدون محافظت روی سرور جنکینز، متعلق به CommuteAir مستقر در اوهایو نشسته است.
وصله فوری بسیار مهم است. بهروزرسانی به Jenkins نسخه 2.442 یا جدیدتر (غیر LTS) یا 2.427 یا بالاتر (LTS) آدرسهای CVE-2024-23897، "جونز میگوید. به عنوان یک روش کلی، او توصیه میکند که سازمانهای توسعه یک مدل با حداقل امتیاز را برای محدود کردن دسترسی اجرا کنند، و همچنین اسکن آسیبپذیری و نظارت مستمر برای فعالیتهای مشکوک را انجام دهند. جونز می افزاید: «علاوه بر این، ارتقاء آگاهی امنیتی در میان توسعه دهندگان و مدیران، وضعیت امنیتی کلی را تقویت می کند.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- : دارد
- :است
- :نه
- :جایی که
- 000
- 12
- 24
- 29
- 7
- a
- قادر
- دسترسی
- مطابق
- فعالیت ها
- فعالیت
- علاوه بر این
- نشانی
- آدرس
- می افزاید:
- مدیران
- مشاوره
- تحت تاثیر قرار
- در برابر
- اجازه دادن
- اجازه دادن
- اجازه می دهد تا
- تقریبا
- همچنین
- در میان
- an
- روانکاو
- و
- ناشناس
- برنامه های کاربردی
- با استفاده از
- هستند
- دور و بر
- AS
- At
- حمله
- تلاش
- مجوز
- خودکار بودن
- در دسترس
- اطلاع
- BE
- شدن
- بوده
- متعلق به
- به ارمغان بیاورد
- ساختن
- بنا
- ساخته شده در
- by
- گذرگاه
- CAN
- نمی توان
- مورد
- معین
- شخصیت
- چک
- چین
- رمز
- ارتباطات
- پیچیدگی
- سازش
- در معرض خطر
- نگرانی
- شرایط
- پیکربندی
- شامل
- زمینه
- مداوم
- کنترل کننده
- اعتبار
- بحرانی
- بسیار سخت
- رمزنگاری
- داده ها
- رمزگشایی کنید
- عمیق تر
- به طور پیش فرض
- وابسته
- گسترش
- گسترش
- توسعه دهندگان
- در حال توسعه
- پروژه
- تیم های توسعه
- كشف كردن
- کشف
- مختل شد
- do
- سند
- میکند
- عمل
- دانلود
- موادی که موقتا برای استعمال انبار میشود
- در طی
- پیش از آن
- ساده
- بالا بردن
- فعال
- پشتیبانی می کند
- رمزگذاری
- سرمایه گذاری
- نرمافزار سازمانی
- تمام
- محیط
- محیط
- تشدید
- حتی
- اعدام
- بهره برداری
- بهره برداری
- سوء استفاده
- حد
- واقعیت
- ویژگی
- امکانات
- کمی از
- پرونده
- فایل ها
- نام خانوادگی
- نقص
- برای
- جعل اسناد
- یافت
- از جانب
- تابع
- سوالات عمومی
- آیا
- داشتن
- HTTPS
- if
- چشم پوشی از
- فوری
- بلافاصله
- انجام
- in
- شامل
- افراد
- شالوده
- نمونه
- ادغام
- اطلاعات
- علاقه مند
- رابط
- اینترنت
- IT
- ژان
- جاوه
- جونز
- JPG
- کلید
- نام
- پارسال
- بعد
- رهبری
- کمترین
- میراث
- محدود کردن
- لاین
- خطوط
- واقع شده
- مخرب
- مدیریت
- بسیاری
- me
- قدرت
- میلیون
- حالت
- مدل
- نظارت بر
- مانیتور
- اکثر
- چندگانه
- تقریبا
- جدید
- غیرانتفاعی
- یادداشت
- اکنون
- گرفتن
- رخ داده است
- of
- غالبا
- on
- or
- کدام سازمان ها
- سازمان های
- دیگر
- به طور کلی
- پچ کردن
- اجازه
- افلاطون
- هوش داده افلاطون
- PlatoData
- پوک
- نقطه
- ممکن
- پتانسیل
- تمرین
- در حال حاضر
- جلوگیری از
- روند
- تولید
- ترویج
- عمومی
- قرار می دهد
- کیفیت
- خواندن
- دلیل
- تازه
- توصیه می شود
- توصیه می کند
- با توجه
- منتشر شد
- منتشر شده
- ماندن
- به یاد داشته باشید
- دور
- تکراری
- گزارش
- گزارش ها
- درخواست
- نیاز
- تحقیق
- پژوهشگر
- محققان
- منابع
- خطر
- خطرات
- ریشه
- s
- سعید
- می گوید:
- پویش
- خط
- اسرار
- امن
- تیم امنیت لاتاری
- آگاهی از امنیت
- حساس
- سرور
- سرور
- او
- صدف
- باید
- امضای
- پس از
- نشسته
- شرایط
- So
- نرم افزار
- توسعه نرم افزار
- برخی از
- چیزی
- خاص
- شروع
- هنوز
- ذخیره سازی
- ذخیره شده
- تقویت می کند
- به شدت
- چنین
- مشکوک
- سیستم
- سیستم های
- وظایف
- تیم
- تیم ها
- آزمون
- تست
- که
- La
- سرقت
- سپس
- آنجا.
- اینها
- آنها
- این
- از طریق
- به
- ابزار
- ناتوان
- زیر
- درک
- بروزرسانی
- به روز شده
- ارتقاء
- URL
- us
- استفاده کنید
- استفاده
- کاربران
- با استفاده از
- مختلف
- نسخه
- نسخه
- بسیار
- از طريق
- آسیب پذیری
- اسکن آسیب پذیری
- آسیب پذیر
- هشدار داد
- خوب
- چه زمانی
- که
- WHO
- با
- بدون
- کارگر
- خواهد بود
- سال
- زفیرنت