Les exploits PoC augmentent les risques autour de la nouvelle vulnérabilité critique Jenkins

Quelque 45,000 XNUMX serveurs Jenkins exposés à Internet ne sont toujours pas corrigés contre une vulnérabilité critique de lecture de fichiers arbitraire récemment révélée pour laquelle le code de preuve d'exploitation est désormais accessible au public.

CVE-2024-23897 affecte l'interface de ligne de commande (CLI) Jenkins intégrée et peut conduire à l'exécution de code à distance sur les systèmes concernés. L'équipe d'infrastructure de Jenkins a révélé la vulnérabilité et publié une version mise à jour du logiciel le 24 janvier.

Exploits de preuve de concept

Depuis, exploit de preuve de concept (PoC) le code est devenu disponible pour la faille et des attaquants ont été signalés essayant activement d'exploiter il. Le 29 janvier, l'organisation à but non lucratif ShadowServer, qui surveille les activités malveillantes sur Internet, ont déclaré avoir observé environ 45,000 XNUMX Instances de Jenkins exposées sur Internet qui sont vulnérables à CVE-2024-23897. Près de 12,000 XNUMX des instances vulnérables se trouvent aux États-Unis ; La Chine compte presque autant de systèmes vulnérables, selon les données de ShadowServer.

De nombreuses équipes de développement de logiciels d'entreprise utilisent Jenkins pour créer, tester et déployer des applications. Jenkins permet aux organisations d'automatiser les tâches répétitives pendant le développement logiciel, telles que les tests, les contrôles de qualité du code, l'analyse de sécurité et le déploiement, pendant le processus de développement logiciel. Jenkins est également souvent utilisé dans les environnements d'intégration continue et de déploiement continu.

Les développeurs utilisent la CLI Jenkins pour accéder et gérer Jenkins à partir d'un script ou d'un environnement shell. CVE-2024-23897 est présent dans une fonctionnalité d'analyseur de commandes CLI qui est activée par défaut sur les versions 2.441 et antérieures de Jenkins et sur Jenkins LTS 2.426.2 et antérieures.

"Cela permet aux attaquants de lire des fichiers arbitraires sur le système de fichiers du contrôleur Jenkins en utilisant le codage de caractères par défaut du processus du contrôleur Jenkins", a déclaré l'équipe Jenkins dans le rapport. Avis du 24 janvier. La faille permet à un attaquant disposant de l'autorisation Globale/Lecture (ce dont la plupart des utilisateurs de Jenkins auraient besoin) de lire des fichiers entiers. Un attaquant sans cette autorisation serait toujours en mesure de lire les premières lignes des fichiers, a indiqué l'équipe Jenkins dans l'avis.

Plusieurs vecteurs pour RCE

La vulnérabilité met également en danger les fichiers binaires contenant des clés cryptographiques utilisées pour diverses fonctionnalités de Jenkins, telles que le stockage des informations d'identification, la signature d'artefacts, le cryptage et le déchiffrement, ainsi que les communications sécurisées. Dans les situations où un attaquant pourrait exploiter la vulnérabilité pour obtenir des clés cryptographiques à partir de fichiers binaires, plusieurs attaques sont possibles, prévient l'avis de Jenkins. Il s'agit notamment des attaques d'exécution de code à distance (RCE) lorsque la fonction Resource Root URL est activée ; RCE via le cookie « Se souvenir de moi » ; RCE via des attaques de scripts intersites ; et les attaques de code à distance qui contournent les protections contre la falsification des demandes intersites, indique l'avis.

Lorsque les attaquants peuvent accéder aux clés cryptographiques des fichiers binaires via CVE-2024-23897, ils peuvent également déchiffrer les secrets stockés dans Jenkins, supprimer des données ou télécharger un vidage de tas Java, a indiqué l'équipe Jenkins.

Des chercheurs de SonarSource qui ont découvert la vulnérabilité et l'ont signalée à l'équipe Jenkins décrit la vulnérabilité comme permettant même aux utilisateurs non authentifiés d'avoir au moins une autorisation de lecture sur Jenkins sous certaines conditions. Cela peut inclure l'activation de l'autorisation en mode hérité, ou si le serveur est configuré pour autoriser l'accès en lecture anonyme, ou lorsque la fonction d'inscription est activée.

Yaniv Nizry, le chercheur en sécurité chez Sonar qui a découvert la vulnérabilité, confirme que d'autres chercheurs ont pu reproduire la faille et disposer d'un PoC fonctionnel.

"Comme il est possible d'exploiter la vulnérabilité sans authentification, dans une certaine mesure, il est très facile de découvrir les systèmes vulnérables", note Nizry. « En ce qui concerne l'exploitation, si un attaquant souhaite élever le fichier arbitraire lu au rang d'exécution de code, cela nécessiterait une compréhension plus approfondie de Jenkins et de l'instance spécifique. La complexité de l’escalade dépend du contexte.

Les nouvelles versions de Jenkins 2.442 et LTS version 2.426.3 corrigent la vulnérabilité. Les organisations qui ne peuvent pas effectuer une mise à niveau immédiate doivent désactiver l'accès CLI pour empêcher toute exploitation, indique l'avis. « Cela est fortement recommandé aux administrateurs qui ne peuvent pas mettre à jour immédiatement vers Jenkins 2.442, LTS 2.426.3. L'application de cette solution de contournement ne nécessite pas de redémarrage de Jenkins.

Patcher maintenant

Sarah Jones, analyste de recherche sur les cybermenaces chez Critical Start, affirme que les organisations utilisant Jenkins feraient bien de ne pas ignorer cette vulnérabilité. « Les risques incluent le vol de données, la compromission du système, la perturbation des pipelines et la possibilité de versions logicielles compromises », explique Jones.

L'une des raisons de cette inquiétude réside dans le fait que les outils DevOps tels que Jenkins peuvent souvent contenir des données critiques et sensibles que les développeurs peuvent importer des environnements de production lors de la création ou du développement de nouvelles applications. Un cas d'espèce s'est produit l'année dernière lorsqu'un chercheur en sécurité a trouvé un document contenant 1.5 million de personnes sur la liste d'interdiction de vol de la TSA assis sans protection sur un serveur Jenkins, appartenant à CommuteAir, basé dans l'Ohio.

« Une mise à jour immédiate est cruciale ; la mise à niveau vers les versions 2.442 ou ultérieures de Jenkins (non-LTS) ou 2.427 ou ultérieures (LTS) résout le CVE-2024-23897 », explique Jones. En règle générale, elle recommande aux organisations de développement de mettre en œuvre un modèle de moindre privilège pour limiter l'accès, ainsi que d'effectuer une analyse des vulnérabilités et une surveillance continue des activités suspectes. Jones ajoute : « De plus, la sensibilisation à la sécurité parmi les développeurs et les administrateurs renforce la posture globale de sécurité. »

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln