A PoC kihasználja a kockázatok növelését a kritikus új Jenkins Vuln körül

Körülbelül 45,000 XNUMX internetnek kitett Jenkins szervert nem javítottak ki egy kritikus, nemrégiben nyilvánosságra hozott, tetszőleges fájlolvasási sérülékenység ellen, amelyre már nyilvánosan elérhető a proof of exploit kód.

CVE-2024 23897- hatással van a beépített Jenkins parancssori felületre (CLI), és távoli kódfuttatáshoz vezethet az érintett rendszereken. A Jenkins infrastrukturális csapata január 24-én nyilvánosságra hozta a sebezhetőséget, és kiadta a frissített szoftververziót.

Proof-of-Concept Exploits

Azóta, proof-of-concept (PoC) kihasználása kód elérhetővé vált a hibához, és vannak jelentések támadókról aktívan megpróbálja kihasználni azt. Január 29-én a ShadowServer nonprofit szervezet, amely az internetet rosszindulatú tevékenységekre figyeli, 45,000 XNUMX körüli megfigyelésről számoltak be A CVE-2024-23897 által veszélyeztetett Jenkins internetes példányai. A sebezhető példányok közül közel 12,000 XNUMX az Egyesült Államokban található; A ShadowServer adatai szerint Kínában majdnem ugyanannyi sérülékeny rendszer van.

Számos vállalati szoftverfejlesztő csapat használja a Jenkinst az alkalmazások építésére, tesztelésére és üzembe helyezésére. A Jenkins lehetővé teszi a szervezetek számára, hogy a szoftverfejlesztés során automatizálják az ismétlődő feladatokat – például tesztelést, kódminőség-ellenőrzést, biztonsági szkennelést és telepítést – a szoftverfejlesztési folyamat során. A Jenkinst gyakran használják folyamatos integrációs és folyamatos üzembe helyezési környezetekben is.

A fejlesztők a Jenkins parancssori felületet használják a Jenkins eléréséhez és kezeléséhez szkriptből vagy shell-környezetből. A CVE-2024-23897 egy CLI parancselemző szolgáltatásban található, amely alapértelmezés szerint engedélyezve van a Jenkins 2.441-es és korábbi verzióiban, valamint a Jenkins LTS 2.426.2-es és korábbi verzióiban.

"Ez lehetővé teszi a támadók számára, hogy tetszőleges fájlokat olvassanak be a Jenkins vezérlő fájlrendszerében a Jenkins vezérlőfolyamat alapértelmezett karakterkódolásával" - mondta a Jenkins csapata a január 24-i tanácsadó. A hiba lehetővé teszi az általános/olvasási engedéllyel rendelkező támadónak – amire a legtöbb Jenkins-felhasználónak szüksége lenne –, hogy teljes fájlokat olvasson. A Jenkins csapata szerint az engedély nélkül is képes lenne elolvasni a fájlok első néhány sorát.

Több vektor az RCE-hez

A biztonsági rés veszélyezteti a Jenkins különféle funkcióihoz, például a hitelesítő adatok tárolásához, a műtermékek aláírásához, a titkosításhoz és visszafejtéshez, valamint a biztonságos kommunikációhoz használt kriptográfiai kulcsokat tartalmazó bináris fájlokat is. Azokban a helyzetekben, amikor a támadó a biztonsági rést kihasználva titkosítási kulcsokat szerezhet bináris fájlokból, több támadás is lehetséges – figyelmeztet a Jenkins-tanács. Ide tartoznak a távoli kódvégrehajtási (RCE) támadások, amikor az Erőforrás gyökér URL funkciója engedélyezett; RCE a „Remember me” cookie-n keresztül; RCE helyek közötti parancsfájl-támadásokon keresztül; és a távoli kódtámadások, amelyek megkerülik a több telephelyre vonatkozó kérés-hamisítás elleni védelmet – áll a tanácsadóban.

Amikor a támadók hozzáférhetnek a bináris fájlok kriptográfiai kulcsaihoz a CVE-2024-23897-en keresztül, akkor a Jenkinsben tárolt titkokat is visszafejthetik, adatokat törölhetnek, vagy letölthetnek egy Java kupac kiíratást – közölte a Jenkins csapata.

A SonarSource kutatói, akik felfedezték a sebezhetőséget, és jelentették azt a Jenkins csapatának leírta a sebezhetőséget lehetővé teszi, hogy bizonyos feltételek mellett a nem hitelesített felhasználók is legalább olvasási jogosultsággal rendelkezzenek a Jenkins-en. Ez magában foglalhatja a régi mód engedélyezését, vagy ha a kiszolgáló úgy van konfigurálva, hogy engedélyezze az anonim olvasási hozzáférést, vagy ha a regisztrációs funkció engedélyezve van.

Yaniv Nizry, a Sonar biztonsági kutatója, aki felfedezte a sérülékenységet, megerősíti, hogy más kutatók képesek voltak reprodukálni a hibát, és működő PoC-vel rendelkeznek.

„Mivel a sérülékenységet bizonyos mértékig hitelesítés nélkül is ki lehet használni, nagyon könnyű felfedezni a sebezhető rendszereket” – jegyzi meg Nizry. „A kihasználással kapcsolatban, ha egy támadó az tetszőleges beolvasott fájl kódvégrehajtásra való emelésében érdekelt, ahhoz Jenkins és a konkrét példány mélyebb megértése szükséges. Az eszkaláció összetettsége a kontextustól függ."

Az új Jenkins 2.442-es és LTS 2.426.3-as verziója orvosolja a biztonsági rést. Azoknak a szervezeteknek, amelyek nem tudnak azonnal frissíteni, le kell tiltaniuk a CLI-hozzáférést a kihasználás megelőzése érdekében. „Ezt kifejezetten ajánljuk azoknak a rendszergazdáknak, akik nem tudnak azonnal frissíteni a Jenkins 2.442, LTS 2.426.3 verzióra. Ennek a megoldásnak az alkalmazása nem igényel Jenkins újraindítását."

Patch Now

Sarah Jones, a Critical Start kiberfenyegetésekkel foglalkozó intelligenciakutató elemzője szerint a Jenkinst használó szervezetek jól tennék, ha nem hagynák figyelmen kívül a sebezhetőséget. „A kockázatok közé tartozik az adatlopás, a rendszer kompromittálása, a csővezetékek megszakadása és a kompromittált szoftverkiadások lehetősége” – mondja Jones.

Az aggodalomra ad okot az a tény, hogy a DevOps-eszközök, például a Jenkins, gyakran tartalmazhatnak kritikus és érzékeny adatokat, amelyeket a fejlesztők az éles környezetből hozhatnak be új alkalmazások építése vagy fejlesztése során. Tavaly történt egy ilyen eset, amikor egy biztonsági kutató talált egy dokumentumot, amely tartalmazza 1.5 millió személy szerepel a TSA repüléstilalmi listáján védelem nélkül ül egy Jenkins szerveren, amely az ohiói CommuteAirhez tartozik.

„Az azonnali foltozás kulcsfontosságú; a Jenkins 2.442-es vagy újabb verzióira (nem LTS) vagy 2.427-es vagy újabb verziójára (LTS) a CVE-2024-23897 címek érhetők el” – mondja Jones. Általános gyakorlatként azt javasolja a fejlesztő szervezeteknek, hogy a legkevesebb privilégiummal rendelkező modellt alkalmazzák a hozzáférés korlátozására, valamint végezzenek sebezhetőségi vizsgálatot és folyamatos figyelést a gyanús tevékenységekre. Jones hozzáteszi: „Emellett a biztonsági tudatosság előmozdítása a fejlesztők és a rendszergazdák körében erősíti az általános biztonsági helyzetet.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln