بهره‌برداری از PoC خطرات را در حوالی New Jenkins Vuln افزایش می‌دهد

حدود 45,000 سرور جنکینز که در معرض اینترنت قرار دارند، در برابر آسیب‌پذیری مهمی که اخیراً فاش شده برای خواندن فایل‌های دلخواه، وصله‌نشده باقی می‌مانند که کد اثبات سوءاستفاده برای آن اکنون در دسترس عموم است.

CVE-2024-23897 رابط خط فرمان داخلی جنکینز (CLI) را تحت تأثیر قرار می دهد و می تواند منجر به اجرای کد از راه دور در سیستم های آسیب دیده شود. تیم زیرساخت جنکینز این آسیب پذیری را فاش کرد و نرم افزار نسخه به روز شده را در 24 ژانویه منتشر کرد.

اکسپلویت های اثبات مفهوم

از آن زمان به بعد، بهره برداری اثبات مفهوم (PoC). کد برای این نقص در دسترس است و برخی گزارش‌ها از مهاجمان وجود دارد فعالانه تلاش برای بهره برداری آی تی. در 29 ژانویه، سازمان غیرانتفاعی ShadowServer که اینترنت را از نظر فعالیت های مخرب نظارت می کند، گزارش شده که حدود 45,000 را مشاهده کرده است مواردی از جنکینز در معرض اینترنت که در برابر CVE-2024-23897 آسیب پذیر هستند. نزدیک به 12,000 مورد از موارد آسیب پذیر در ایالات متحده واقع شده اند. طبق داده‌های ShadowServer، چین تقریباً به همان اندازه سیستم‌های آسیب‌پذیر دارد.

بسیاری از تیم های توسعه نرم افزار سازمانی از جنکینز برای ساخت، آزمایش و استقرار برنامه ها استفاده می کنند. جنکینز به سازمان‌ها اجازه می‌دهد تا وظایف تکراری را در طول توسعه نرم‌افزار - مانند آزمایش، بررسی کیفیت کد، اسکن امنیتی و استقرار - در طول فرآیند توسعه نرم‌افزار خودکار کنند. جنکینز همچنین اغلب در محیط های یکپارچه سازی مداوم و استقرار مداوم استفاده می شود.

توسعه دهندگان از Jenkins CLI برای دسترسی و مدیریت Jenkins از یک اسکریپت یا یک محیط پوسته استفاده می کنند. CVE-2024-23897 در یک ویژگی تجزیه کننده فرمان CLI وجود دارد که به طور پیش‌فرض در نسخه‌های Jenkins 2.441 و قبل‌تر و Jenkins LTS 2.426.2 و قبل‌تر فعال است.

تیم جنکینز در این گزارش گفت: «این به مهاجمان اجازه می‌دهد تا فایل‌های دلخواه را در سیستم فایل کنترلر جنکینز با استفاده از رمزگذاری کاراکتر پیش‌فرض فرآیند کنترل‌کننده جنکینز بخوانند». مشاوره 24 ژانویه. این نقص به مهاجمی با مجوز Overall/Read - چیزی که اکثر کاربران Jenkins به آن نیاز دارند - اجازه می‌دهد تا کل فایل‌ها را بخوانند. تیم جنکینز در مشاوره گفت که مهاجم بدون این مجوز همچنان می‌تواند چند خط اول فایل‌ها را بخواند.

بردارهای چندگانه برای RCE

این آسیب‌پذیری همچنین فایل‌های باینری حاوی کلیدهای رمزنگاری مورد استفاده برای ویژگی‌های مختلف جنکینز، مانند ذخیره‌سازی اعتبار، امضای مصنوع، رمزگذاری و رمزگشایی، و ارتباطات امن را در معرض خطر قرار می‌دهد. مشاوره جنکینز هشدار داد در شرایطی که مهاجم ممکن است از این آسیب‌پذیری برای به دست آوردن کلیدهای رمزنگاری از فایل‌های باینری سوء استفاده کند، حملات متعدد ممکن است. از جمله حملات اجرای کد از راه دور (RCE) زمانی که تابع URL ریشه منبع فعال است. RCE از طریق کوکی "مرا به خاطر بسپار"؛ RCE از طریق حملات اسکریپت بین سایتی. این مشاوره گفت و حملات کد از راه دور که محافظت از جعل درخواست های متقابل سایت را دور می زند.

تیم جنکینز گفت: هنگامی که مهاجمان می توانند از طریق CVE-2024-23897 به کلیدهای رمزنگاری در فایل های باینری دسترسی پیدا کنند، می توانند اسرار ذخیره شده در جنکینز را رمزگشایی کنند، داده ها را حذف کنند یا یک پشته خالی جاوا را دانلود کنند.

محققانی از SonarSource که این آسیب‌پذیری را کشف کردند و آن را به تیم جنکینز گزارش کردند آسیب پذیری را تشریح کرد به عنوان اجازه می دهد حتی کاربران احراز هویت نشده حداقل مجوز خواندن در Jenkins را تحت شرایط خاص داشته باشند. این می تواند شامل فعال کردن مجوز حالت قدیمی، یا اگر سرور برای اجازه دسترسی خواندن ناشناس پیکربندی شده باشد، یا زمانی که ویژگی ثبت نام فعال است، باشد.

Yaniv Nizry، محقق امنیتی Sonar که این آسیب‌پذیری را کشف کرده است، تأیید می‌کند که سایر محققان توانسته‌اند این نقص را بازتولید کنند و یک PoC کارآمد داشته باشند.

نیزری خاطرنشان می کند: «از آنجایی که امکان سوء استفاده از آسیب پذیری بدون احراز هویت وجود دارد، تا حدی مشخص است، کشف سیستم های آسیب پذیر بسیار آسان است. در مورد بهره برداری، اگر مهاجمی علاقه مند به ارتقاء فایل دلخواه خوانده شده به اجرای کد باشد، به درک عمیق تری از جنکینز و نمونه خاص نیاز دارد. پیچیدگی تشدید به زمینه بستگی دارد.»

نسخه های جدید جنکینز 2.442 و LTS نسخه 2.426.3 آسیب پذیری را برطرف می کنند. در این توصیه نامه آمده است که سازمان هایی که نمی توانند فوراً ارتقاء دهند باید دسترسی CLI را برای جلوگیری از بهره برداری غیرفعال کنند. انجام این کار به مدیرانی که قادر به آپدیت فوری به Jenkins 2.442، LTS 2.426.3 نیستند، اکیداً توصیه می شود. اعمال این راه حل نیازی به راه اندازی مجدد جنکینز ندارد.

Patch Now

سارا جونز، تحلیلگر تحقیقات اطلاعاتی تهدیدات سایبری در Critical Start، می‌گوید سازمان‌هایی که از جنکینز استفاده می‌کنند بهتر است این آسیب‌پذیری را نادیده نگیرند. جونز می‌گوید: «خطرات شامل سرقت داده‌ها، به خطر افتادن سیستم، اختلال در خطوط لوله و احتمال انتشار نرم‌افزار به خطر افتاده است.

یکی از دلایل نگرانی این واقعیت است که ابزارهای DevOps مانند Jenkins اغلب می‌توانند حاوی داده‌های حساس و حساسی باشند که توسعه‌دهندگان ممکن است از محیط‌های تولید در هنگام ساخت یا توسعه برنامه‌های کاربردی جدید وارد کنند. یک مورد در سال گذشته زمانی رخ داد که یک محقق امنیتی سندی را پیدا کرد که حاوی آن بود 1.5 میلیون نفر در لیست پرواز ممنوع TSA بدون محافظت روی سرور جنکینز، متعلق به CommuteAir مستقر در اوهایو نشسته است.

وصله فوری بسیار مهم است. به‌روزرسانی به Jenkins نسخه 2.442 یا جدیدتر (غیر LTS) یا 2.427 یا بالاتر (LTS) آدرس‌های CVE-2024-23897، "جونز می‌گوید. به عنوان یک روش کلی، او توصیه می‌کند که سازمان‌های توسعه یک مدل با حداقل امتیاز را برای محدود کردن دسترسی اجرا کنند، و همچنین اسکن آسیب‌پذیری و نظارت مستمر برای فعالیت‌های مشکوک را انجام دهند. جونز می افزاید: «علاوه بر این، ارتقاء آگاهی امنیتی در میان توسعه دهندگان و مدیران، وضعیت امنیتی کلی را تقویت می کند.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln