PoC hyödyntää kriittisen uuden Jenkins Vulnin riskien lisäämistä

Noin 45,000 XNUMX Internetille altistunutta Jenkins-palvelinta on edelleen korjaamatta kriittistä, äskettäin paljastettua mielivaltaista tiedostojen lukuhaavoittuvuutta vastaan, jonka hyväksikäytön todistekoodi on nyt julkisesti saatavilla.

CVE-2024-23897 vaikuttaa sisäänrakennettuun Jenkinsin komentoriviliittymään (CLI) ja voi johtaa koodin etäsuorittamiseen vaikutuksen alaisina olevissa järjestelmissä. Jenkinsin infrastruktuuritiimi paljasti haavoittuvuuden ja julkaisi päivitetyn ohjelmistoversion 24. tammikuuta.

Proof-of-Concept hyödyntää

Siitä lähtien, proof-of-concept (PoC) hyödyntäminen koodi on tullut saataville virheelle, ja joitain raportteja hyökkääjistä yrittää aktiivisesti hyödyntää se. 29. tammikuuta voittoa tavoittelematon ShadowServer-organisaatio, joka tarkkailee Internetiä haitallisen toiminnan varalta, raportoi havainneensa noin 45,000 XNUMX Internetissä olevat Jenkinsin esiintymät, jotka ovat alttiina CVE-2024-23897:lle. Lähes 12,000 XNUMX haavoittuvista tapauksista sijaitsee Yhdysvalloissa; ShadowServerin tietojen mukaan Kiinassa on lähes yhtä paljon haavoittuvia järjestelmiä.

Monet yritysohjelmistojen kehitystiimit käyttävät Jenkinsiä sovellusten rakentamiseen, testaamiseen ja käyttöönottoon. Jenkinsin avulla organisaatiot voivat automatisoida toistuvia tehtäviä ohjelmistokehityksen aikana – kuten testausta, koodin laaduntarkistuksia, suojausskannausta ja käyttöönottoa – ohjelmistokehitysprosessin aikana. Jenkinsiä käytetään usein myös jatkuvan integroinnin ja jatkuvan käyttöönoton ympäristöissä.

Kehittäjät käyttävät Jenkinsin CLI:tä päästäkseen ja hallitakseen Jenkinsiä komentosarjasta tai komentotulkkiympäristöstä. CVE-2024-23897 on CLI-komentojäsennysominaisuuden mukana, joka on oletusarvoisesti käytössä Jenkinsin versioissa 2.441 ja sitä vanhemmissa sekä Jenkins LTS 2.426.2:ssa ja sitä vanhemmissa.

"Tämän avulla hyökkääjät voivat lukea mielivaltaisia ​​tiedostoja Jenkinsin ohjaintiedostojärjestelmästä käyttämällä Jenkinsin ohjainprosessin oletusmerkkikoodausta", Jenkins-tiimi sanoi 24. tammikuuta neuvoa-antava. Virhe sallii hyökkääjän, jolla on yleinen/luku-oikeus – mitä useimmat Jenkins-käyttäjät vaatisivat – lukea kokonaisia ​​tiedostoja. Hyökkääjä ilman tätä lupaa voisi silti lukea tiedostojen ensimmäiset rivit, Jenkins-tiimi sanoi neuvonnassa.

Useita vektoreita RCE:lle

Haavoittuvuus vaarantaa myös binaaritiedostot, jotka sisältävät salausavaimia, joita käytetään useisiin Jenkinsin ominaisuuksiin, kuten valtuustietojen tallentamiseen, artefaktien allekirjoittamiseen, salaukseen ja salauksen purkamiseen sekä suojattuun viestintään. Tilanteissa, joissa hyökkääjä saattaa hyödyntää haavoittuvuutta saadakseen salausavaimia binääritiedostoista, useat hyökkäykset ovat mahdollisia, Jenkinsin neuvonta varoittaa. Näitä ovat etäkoodin suoritus (RCE) -hyökkäykset, kun Resource Root URL -toiminto on käytössä; RCE "Muista minut" -evästeen kautta; RCE sivustojen välisten komentosarjahyökkäysten kautta; ja etäkoodihyökkäykset, jotka ohittavat sivustojen väliset pyyntöväärennössuojat, neuvoja sanoi.

Kun hyökkääjät voivat käyttää salausavaimia binääritiedostoissa CVE-2024-23897:n kautta, he voivat myös purkaa Jenkinsiin tallennettujen salaisuuksien salauksen, poistaa tietoja tai ladata Java-kekovedoksen, Jenkins-tiimi sanoi.

SonarSourcen tutkijat, jotka löysivät haavoittuvuuden ja ilmoittivat siitä Jenkins-tiimille kuvaili haavoittuvuutta koska se antaa jopa todentamattomille käyttäjille ainakin Jenkinsin lukuoikeuden tietyin edellytyksin. Tämä voi sisältää sen, että vanhan tilan valtuutus on käytössä tai jos palvelin on määritetty sallimaan anonyymi lukuoikeus tai kun kirjautumisominaisuus on käytössä.

Sonarin tietoturvatutkija Yaniv Nizry, joka löysi haavoittuvuuden, vahvistaa, että muut tutkijat ovat pystyneet toistamaan virheen ja heillä on toimiva PoC.

"Koska haavoittuvuutta on mahdollista hyödyntää todentamatta jossain määrin, haavoittuvien järjestelmien löytäminen on erittäin helppoa", Nizry huomauttaa. "Hyödyntämisen osalta, jos hyökkääjä on kiinnostunut nostamaan mielivaltaisen tiedoston luetun koodin suorittamiseen, se vaatisi Jenkinsin ja yksittäisen esiintymän syvempää ymmärtämistä. Eskaloinnin monimutkaisuus riippuu kontekstista."

Uudet Jenkins-versiot 2.442 ja LTS-versiot 2.426.3 korjaavat haavoittuvuuden. Organisaatioiden, jotka eivät voi päivittää välittömästi, tulee poistaa CLI-käyttö käytöstä hyväksikäytön estämiseksi, neuvoja sanoi. "Näin tekeminen on erittäin suositeltavaa järjestelmänvalvojille, jotka eivät pysty päivittämään välittömästi Jenkins 2.442:een, LTS 2.426.3:een. Tämän kiertotavan käyttäminen ei vaadi Jenkinsin uudelleenkäynnistystä."

Korjaus nyt

Sarah Jones, Critical Startin kyberuhkien tiedustelututkimusanalyytikko, sanoo, että Jenkinsiä käyttävien organisaatioiden ei kannata jättää huomiotta haavoittuvuutta. "Riskejä ovat tietovarkaudet, järjestelmän vaarantaminen, putkien katkeaminen ja mahdollisuus vaarantuneisiin ohjelmistojulkaisuihin", Jones sanoo.

Yksi syy huoleen on se, että DevOps-työkalut, kuten Jenkins, voivat usein sisältää tärkeitä ja arkaluontoisia tietoja, joita kehittäjät saattavat tuoda tuotantoympäristöistä rakentaessaan tai kehittäessään uusia sovelluksia. Tapaus sattui viime vuonna, kun turvallisuustutkija löysi asiakirjan, joka sisältää 1.5 miljoonaa yksilöä TSA:n lentokieltoluettelossa istuu suojaamattomana Jenkins-palvelimella, joka kuuluu Ohiossa sijaitsevalle CommuteAirille.

”Välitön paikkaus on ratkaisevan tärkeää; päivitys Jenkins-versioon 2.442 tai uudempi (ei-LTS) tai 2.427 tai uudempi (LTS) -osoitteet CVE-2024-23897", Jones sanoo. Yleisenä käytäntönä hän suosittelee, että kehitysorganisaatiot ottavat käyttöön vähiten etuoikeusmallin pääsyn rajoittamiseen sekä tekevät haavoittuvuuksien skannausta ja jatkuvaa seurantaa epäilyttävän toiminnan varalta. Jones lisää: "Lisäksi tietoturvatietoisuuden edistäminen kehittäjien ja järjestelmänvalvojien keskuudessa vahvistaa yleistä tietoturva-asentoa."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln