Körülbelül 45,000 XNUMX internetnek kitett Jenkins szervert nem javítottak ki egy kritikus, nemrégiben nyilvánosságra hozott, tetszőleges fájlolvasási sérülékenység ellen, amelyre már nyilvánosan elérhető a proof of exploit kód.
CVE-2024 23897- hatással van a beépített Jenkins parancssori felületre (CLI), és távoli kódfuttatáshoz vezethet az érintett rendszereken. A Jenkins infrastrukturális csapata január 24-én nyilvánosságra hozta a sebezhetőséget, és kiadta a frissített szoftververziót.
Proof-of-Concept Exploits
Azóta, proof-of-concept (PoC) kihasználása kód elérhetővé vált a hibához, és vannak jelentések támadókról aktívan megpróbálja kihasználni azt. Január 29-én a ShadowServer nonprofit szervezet, amely az internetet rosszindulatú tevékenységekre figyeli, 45,000 XNUMX körüli megfigyelésről számoltak be A CVE-2024-23897 által veszélyeztetett Jenkins internetes példányai. A sebezhető példányok közül közel 12,000 XNUMX az Egyesült Államokban található; A ShadowServer adatai szerint Kínában majdnem ugyanannyi sérülékeny rendszer van.
Számos vállalati szoftverfejlesztő csapat használja a Jenkinst az alkalmazások építésére, tesztelésére és üzembe helyezésére. A Jenkins lehetővé teszi a szervezetek számára, hogy a szoftverfejlesztés során automatizálják az ismétlődő feladatokat – például tesztelést, kódminőség-ellenőrzést, biztonsági szkennelést és telepítést – a szoftverfejlesztési folyamat során. A Jenkinst gyakran használják folyamatos integrációs és folyamatos üzembe helyezési környezetekben is.
A fejlesztők a Jenkins parancssori felületet használják a Jenkins eléréséhez és kezeléséhez szkriptből vagy shell-környezetből. A CVE-2024-23897 egy CLI parancselemző szolgáltatásban található, amely alapértelmezés szerint engedélyezve van a Jenkins 2.441-es és korábbi verzióiban, valamint a Jenkins LTS 2.426.2-es és korábbi verzióiban.
"Ez lehetővé teszi a támadók számára, hogy tetszőleges fájlokat olvassanak be a Jenkins vezérlő fájlrendszerében a Jenkins vezérlőfolyamat alapértelmezett karakterkódolásával" - mondta a Jenkins csapata a január 24-i tanácsadó. A hiba lehetővé teszi az általános/olvasási engedéllyel rendelkező támadónak – amire a legtöbb Jenkins-felhasználónak szüksége lenne –, hogy teljes fájlokat olvasson. A Jenkins csapata szerint az engedély nélkül is képes lenne elolvasni a fájlok első néhány sorát.
Több vektor az RCE-hez
A biztonsági rés veszélyezteti a Jenkins különféle funkcióihoz, például a hitelesítő adatok tárolásához, a műtermékek aláírásához, a titkosításhoz és visszafejtéshez, valamint a biztonságos kommunikációhoz használt kriptográfiai kulcsokat tartalmazó bináris fájlokat is. Azokban a helyzetekben, amikor a támadó a biztonsági rést kihasználva titkosítási kulcsokat szerezhet bináris fájlokból, több támadás is lehetséges – figyelmeztet a Jenkins-tanács. Ide tartoznak a távoli kódvégrehajtási (RCE) támadások, amikor az Erőforrás gyökér URL funkciója engedélyezett; RCE a „Remember me” cookie-n keresztül; RCE helyek közötti parancsfájl-támadásokon keresztül; és a távoli kódtámadások, amelyek megkerülik a több telephelyre vonatkozó kérés-hamisítás elleni védelmet – áll a tanácsadóban.
Amikor a támadók hozzáférhetnek a bináris fájlok kriptográfiai kulcsaihoz a CVE-2024-23897-en keresztül, akkor a Jenkinsben tárolt titkokat is visszafejthetik, adatokat törölhetnek, vagy letölthetnek egy Java kupac kiíratást – közölte a Jenkins csapata.
A SonarSource kutatói, akik felfedezték a sebezhetőséget, és jelentették azt a Jenkins csapatának leírta a sebezhetőséget lehetővé teszi, hogy bizonyos feltételek mellett a nem hitelesített felhasználók is legalább olvasási jogosultsággal rendelkezzenek a Jenkins-en. Ez magában foglalhatja a régi mód engedélyezését, vagy ha a kiszolgáló úgy van konfigurálva, hogy engedélyezze az anonim olvasási hozzáférést, vagy ha a regisztrációs funkció engedélyezve van.
Yaniv Nizry, a Sonar biztonsági kutatója, aki felfedezte a sérülékenységet, megerősíti, hogy más kutatók képesek voltak reprodukálni a hibát, és működő PoC-vel rendelkeznek.
„Mivel a sérülékenységet bizonyos mértékig hitelesítés nélkül is ki lehet használni, nagyon könnyű felfedezni a sebezhető rendszereket” – jegyzi meg Nizry. „A kihasználással kapcsolatban, ha egy támadó az tetszőleges beolvasott fájl kódvégrehajtásra való emelésében érdekelt, ahhoz Jenkins és a konkrét példány mélyebb megértése szükséges. Az eszkaláció összetettsége a kontextustól függ."
Az új Jenkins 2.442-es és LTS 2.426.3-as verziója orvosolja a biztonsági rést. Azoknak a szervezeteknek, amelyek nem tudnak azonnal frissíteni, le kell tiltaniuk a CLI-hozzáférést a kihasználás megelőzése érdekében. „Ezt kifejezetten ajánljuk azoknak a rendszergazdáknak, akik nem tudnak azonnal frissíteni a Jenkins 2.442, LTS 2.426.3 verzióra. Ennek a megoldásnak az alkalmazása nem igényel Jenkins újraindítását."
Patch Now
Sarah Jones, a Critical Start kiberfenyegetésekkel foglalkozó intelligenciakutató elemzője szerint a Jenkinst használó szervezetek jól tennék, ha nem hagynák figyelmen kívül a sebezhetőséget. „A kockázatok közé tartozik az adatlopás, a rendszer kompromittálása, a csővezetékek megszakadása és a kompromittált szoftverkiadások lehetősége” – mondja Jones.
Az aggodalomra ad okot az a tény, hogy a DevOps-eszközök, például a Jenkins, gyakran tartalmazhatnak kritikus és érzékeny adatokat, amelyeket a fejlesztők az éles környezetből hozhatnak be új alkalmazások építése vagy fejlesztése során. Tavaly történt egy ilyen eset, amikor egy biztonsági kutató talált egy dokumentumot, amely tartalmazza 1.5 millió személy szerepel a TSA repüléstilalmi listáján védelem nélkül ül egy Jenkins szerveren, amely az ohiói CommuteAirhez tartozik.
„Az azonnali foltozás kulcsfontosságú; a Jenkins 2.442-es vagy újabb verzióira (nem LTS) vagy 2.427-es vagy újabb verziójára (LTS) a CVE-2024-23897 címek érhetők el” – mondja Jones. Általános gyakorlatként azt javasolja a fejlesztő szervezeteknek, hogy a legkevesebb privilégiummal rendelkező modellt alkalmazzák a hozzáférés korlátozására, valamint végezzenek sebezhetőségi vizsgálatot és folyamatos figyelést a gyanús tevékenységekre. Jones hozzáteszi: „Emellett a biztonsági tudatosság előmozdítása a fejlesztők és a rendszergazdák körében erősíti az általános biztonsági helyzetet.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- :van
- :is
- :nem
- :ahol
- 000
- 12
- 24
- 29
- 7
- a
- Képes
- hozzáférés
- Szerint
- tevékenységek
- tevékenység
- Ezen kívül
- cím
- címek
- Hozzáteszi
- adminisztrátorok
- tanácsadó
- érintett
- ellen
- lehetővé
- lehetővé téve
- lehetővé teszi, hogy
- majdnem
- Is
- között
- an
- elemző
- és a
- Névtelenül
- alkalmazások
- Alkalmazása
- VANNAK
- körül
- AS
- At
- Támadások
- megkísérlése
- meghatalmazás
- automatizált
- elérhető
- tudatosság
- BE
- válik
- óta
- tartozó
- hoz
- épít
- Épület
- beépített
- by
- kitérő
- TUD
- nem tud
- eset
- bizonyos
- karakter
- Ellenőrzések
- Kína
- kód
- távközlés
- bonyolultság
- kompromisszum
- Veszélyeztetett
- Vonatkozik
- Körülmények
- konfigurálva
- tartalmaz
- kontextus
- folyamatos
- ellenőr
- HITELEZÉS
- kritikai
- kritikus
- kriptográfiai
- dátum
- visszafejtése
- mélyebb
- alapértelmezett
- függő
- telepíteni
- bevetés
- fejlesztők
- fejlesztése
- Fejlesztés
- fejlesztő csapatok
- felfedez
- felfedezett
- megzavarta
- do
- dokumentum
- nem
- Ennek
- letöltés
- kiírása
- alatt
- Korábban
- könnyű
- felemelő
- engedélyezve
- kódolás
- titkosítás
- Vállalkozás
- vállalati szoftver
- Egész
- Környezet
- környezetek
- eszkaláció
- Még
- végrehajtás
- Exploit
- kizsákmányolás
- hasznosítja
- mérték
- tény
- Funkció
- Jellemzők
- kevés
- filé
- Fájlok
- vezetéknév
- hibája
- A
- hamisítvány
- talált
- ból ből
- funkció
- általános
- Legyen
- tekintettel
- HTTPS
- if
- figyelmen kívül hagy
- azonnali
- azonnal
- végre
- in
- tartalmaz
- egyének
- Infrastruktúra
- példa
- integráció
- Intelligencia
- érdekelt
- Felület
- Internet
- IT
- január
- Jáva
- jones
- jpg
- kulcsok
- keresztnév
- Tavaly
- a későbbiekben
- vezet
- legkevésbé
- Örökség
- korlátozó
- vonal
- vonalak
- található
- rosszindulatú
- kezelése
- sok
- me
- esetleg
- millió
- Mód
- modell
- ellenőrzés
- monitorok
- a legtöbb
- többszörös
- közel
- Új
- nonprofit
- Megjegyzések
- Most
- szerez
- történt
- of
- gyakran
- on
- or
- szervezet
- szervezetek
- Más
- átfogó
- Foltozás
- engedély
- Plató
- Platón adatintelligencia
- PlatoData
- PoC
- pont
- lehetséges
- potenciális
- gyakorlat
- be
- megakadályozása
- folyamat
- Termelés
- támogatása
- nyilvánosan
- helyezi
- világítás
- Olvass
- ok
- nemrég
- ajánlott
- ajánlja
- tekintettel
- felszabaduló
- Releases
- marad
- eszébe jut
- távoli
- ismétlő
- Számolt
- Jelentések
- kérni
- szükség
- kutatás
- kutató
- kutatók
- forrás
- Kockázat
- kockázatok
- gyökér
- s
- Mondott
- azt mondja,
- letapogatás
- forgatókönyv
- titkok
- biztonság
- biztonság
- Biztonsági tudatosság
- érzékeny
- szerver
- Szerverek
- ő
- Héj
- kellene
- aláírás
- óta
- Ülés
- helyzetek
- So
- szoftver
- szoftverfejlesztés
- néhány
- valami
- különleges
- kezdet
- Még mindig
- tárolás
- memorizált
- erősíti
- erősen
- ilyen
- gyanús
- rendszer
- Systems
- feladatok
- csapat
- csapat
- teszt
- Tesztelés
- hogy
- A
- lopás
- akkor
- Ott.
- Ezek
- ők
- ezt
- Keresztül
- nak nek
- szerszámok
- képtelen
- alatt
- megértés
- Frissítések
- frissítve
- frissítés
- URL
- us
- használ
- használt
- Felhasználók
- segítségével
- különféle
- változat
- verzió
- nagyon
- keresztül
- sebezhetőség
- sebezhetőségi vizsgálat
- Sebezhető
- figyelmeztetett
- JÓL
- amikor
- ami
- WHO
- val vel
- nélkül
- dolgozó
- lenne
- év
- zephyrnet