Sekitar 45,000 server Jenkins yang terpapar Internet masih belum ditambal terhadap kerentanan kritis pembacaan file sewenang-wenang yang baru-baru ini diungkapkan, dan kode bukti eksploitasi kini tersedia untuk umum.
CVE-2024-23897 mempengaruhi antarmuka baris perintah (CLI) Jenkins bawaan dan dapat menyebabkan eksekusi kode jarak jauh pada sistem yang terpengaruh. Tim infrastruktur Jenkins mengungkapkan kerentanannya, dan merilis perangkat lunak versi terbaru, pada 24 Januari.
Eksploitasi Bukti Konsep
Sejak saat itu, eksploitasi bukti konsep (PoC). kode telah tersedia untuk kelemahan tersebut dan ada beberapa laporan tentang penyerang secara aktif mencoba untuk mengeksploitasi dia. Pada tanggal 29 Januari, organisasi nirlaba ShadowServer, yang memantau aktivitas jahat di Internet, dilaporkan mengamati sekitar 45,000 Contoh Jenkins yang terpapar internet dan rentan terhadap CVE-2024-23897. Hampir 12,000 kasus rentan berada di Amerika; Tiongkok memiliki sistem rentan yang hampir sama banyaknya, menurut data ShadowServer.
Banyak tim pengembangan perangkat lunak perusahaan menggunakan Jenkins untuk membangun, menguji, dan menyebarkan aplikasi. Jenkins memungkinkan organisasi untuk mengotomatiskan tugas berulang selama pengembangan perangkat lunak โ seperti pengujian, pemeriksaan kualitas kode, pemindaian keamanan, dan penerapan โ selama proses pengembangan perangkat lunak. Jenkins juga sering digunakan dalam lingkungan integrasi berkelanjutan dan penerapan berkelanjutan.
Pengembang menggunakan Jenkins CLI untuk mengakses dan mengelola Jenkins dari skrip atau lingkungan shell. CVE-2024-23897 hadir dalam fitur parser perintah CLI yang diaktifkan secara default pada Jenkins versi 2.441 dan yang lebih lama serta Jenkins LTS 2.426.2 dan yang lebih lama.
โHal ini memungkinkan penyerang membaca file arbitrer pada sistem file pengontrol Jenkins menggunakan pengkodean karakter default dari proses pengontrol Jenkins,โ kata tim Jenkins dalam Penasehat 24 Januari. Cacat ini memungkinkan penyerang dengan izin Keseluruhan/Baca โ sesuatu yang dibutuhkan sebagian besar pengguna Jenkins โ untuk membaca seluruh file. Penyerang tanpa izin tersebut masih dapat membaca beberapa baris pertama file, kata tim Jenkins dalam penasehatnya.
Banyak Vektor untuk RCE
Kerentanan ini juga membahayakan file biner yang berisi kunci kriptografi yang digunakan untuk berbagai fitur Jenkins, seperti penyimpanan kredensial, penandatanganan artefak, enkripsi dan dekripsi, serta komunikasi yang aman. Dalam situasi di mana penyerang mungkin mengeksploitasi kerentanan untuk mendapatkan kunci kriptografi dari file biner, beberapa serangan mungkin terjadi, saran Jenkins memperingatkan. Ini termasuk serangan eksekusi kode jarak jauh (RCE) ketika fungsi Resource Root URL diaktifkan; RCE melalui cookie โIngat sayaโ; RCE melalui serangan skrip lintas situs; dan serangan kode jarak jauh yang melewati perlindungan pemalsuan permintaan lintas situs, kata penasihat tersebut.
Ketika penyerang dapat mengakses kunci kriptografi dalam file biner melalui CVE-2024-23897, mereka juga dapat mendekripsi rahasia yang disimpan di Jenkins, menghapus data, atau mengunduh heap dump Java, kata tim Jenkins.
Peneliti dari SonarSource yang menemukan kerentanan tersebut dan melaporkannya ke tim Jenkins menggambarkan kerentanannya seperti mengizinkan pengguna yang tidak diautentikasi untuk memiliki setidaknya izin membaca di Jenkins dalam kondisi tertentu. Hal ini dapat mencakup mengaktifkan otorisasi mode lama, atau jika server dikonfigurasi untuk mengizinkan akses baca anonim, atau ketika fitur pendaftaran diaktifkan.
Yaniv Nizry, peneliti keamanan di Sonar yang menemukan kerentanan tersebut, mengonfirmasi bahwa peneliti lain telah mampu mereproduksi kelemahan tersebut dan memiliki PoC yang berfungsi.
โKarena kerentanan dapat dieksploitasi tanpa diautentikasi, hingga batas tertentu, sangat mudah untuk menemukan sistem yang rentan,โ catat Nizry. โMengenai eksploitasi, jika penyerang tertarik untuk meningkatkan pembacaan file arbitrer menjadi eksekusi kode, hal ini memerlukan pemahaman lebih dalam tentang Jenkins dan contoh spesifiknya. Kompleksitas eskalasi bergantung pada konteksnya.โ
Jenkins versi 2.442 dan LTS versi 2.426.3 yang baru mengatasi kerentanan tersebut. Organisasi yang tidak dapat segera melakukan upgrade harus menonaktifkan akses CLI untuk mencegah eksploitasi, kata penasihat tersebut. โMelakukan hal ini sangat disarankan bagi administrator yang tidak dapat segera memperbarui ke Jenkins 2.442, LTS 2.426.3. Menerapkan solusi ini tidak memerlukan restart Jenkins.โ
Tambal Sekarang
Sarah Jones, analis riset intelijen ancaman dunia maya di Critical Start, mengatakan organisasi yang menggunakan Jenkins sebaiknya tidak mengabaikan kerentanan tersebut. โRisikonya mencakup pencurian data, gangguan sistem, gangguan saluran pipa, dan potensi kebocoran perangkat lunak,โ kata Jones.
Salah satu alasan kekhawatiran ini adalah fakta bahwa alat DevOps seperti Jenkins sering kali berisi data penting dan sensitif yang mungkin dibawa oleh pengembang dari lingkungan produksi saat membuat atau mengembangkan aplikasi baru. Contoh kasus terjadi tahun lalu ketika seorang peneliti keamanan menemukan dokumen yang berisi 1.5 juta orang masuk dalam daftar larangan terbang TSA duduk tanpa perlindungan di server Jenkins, milik CommuteAir yang berbasis di Ohio.
โPenambalan segera sangatlah penting; meningkatkan ke Jenkins versi 2.442 atau lebih baru (non-LTS) atau 2.427 atau lebih baru (LTS) alamat CVE-2024-23897,โ kata Jones. Sebagai praktik umum, dia merekomendasikan agar organisasi pembangunan menerapkan model dengan hak paling rendah untuk membatasi akses, dan juga melakukan pemindaian kerentanan dan pemantauan berkelanjutan untuk aktivitas mencurigakan. Jones menambahkan: โSelain itu, meningkatkan kesadaran keamanan di kalangan pengembang dan administrator akan memperkuat postur keamanan secara keseluruhan.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- :memiliki
- :adalah
- :bukan
- :Di mana
- 000
- 12
- 24
- 29
- 7
- a
- Sanggup
- mengakses
- Menurut
- kegiatan
- kegiatan
- Selain itu
- alamat
- alamat
- Menambahkan
- administrator
- laporan
- terpengaruh
- terhadap
- mengizinkan
- Membiarkan
- memungkinkan
- hampir
- juga
- antara
- an
- analis
- dan
- Anonim
- aplikasi
- Menerapkan
- ADALAH
- sekitar
- AS
- At
- Serangan
- berusaha
- otorisasi
- mengotomatisasikan
- tersedia
- kesadaran
- BE
- menjadi
- menjadi
- termasuk
- membawa
- membangun
- Bangunan
- built-in
- by
- memotong
- CAN
- tidak bisa
- kasus
- tertentu
- karakter
- Cek
- Tiongkok
- kode
- komunikasi
- kompleksitas
- kompromi
- Dikompromikan
- Perhatian
- Kondisi
- dikonfigurasi
- mengandung
- konteks
- kontinu
- pengawas
- MANDAT
- kritis
- sangat penting
- kriptografi
- data
- Dekripsi
- lebih dalam
- Default
- tergantung
- menyebarkan
- penyebaran
- pengembang
- berkembang
- Pengembangan
- tim pengembangan
- menemukan
- ditemukan
- terganggu
- do
- dokumen
- tidak
- melakukan
- Download
- membuang
- selama
- Terdahulu
- Mudah
- mengangkat
- diaktifkan
- encoding
- enkripsi
- Enterprise
- perangkat lunak perusahaan
- Seluruh
- Lingkungan Hidup
- lingkungan
- eskalasi
- Bahkan
- eksekusi
- Mengeksploitasi
- eksploitasi
- eksploitasi
- tingkat
- fakta
- Fitur
- Fitur
- beberapa
- File
- File
- Pertama
- cacat
- Untuk
- pemalsuan
- ditemukan
- dari
- fungsi
- Umum
- Memiliki
- memiliki
- HTTPS
- if
- mengabaikan
- Segera
- segera
- melaksanakan
- in
- memasukkan
- individu
- Infrastruktur
- contoh
- integrasi
- Intelijen
- tertarik
- Antarmuka
- Internet
- IT
- jan
- Jawa
- jones
- jpg
- kunci-kunci
- Terakhir
- Tahun lalu
- kemudian
- memimpin
- paling sedikit
- Warisan
- membatasi
- baris
- baris
- terletak
- jahat
- mengelola
- banyak
- me
- mungkin
- juta
- mode
- model
- pemantauan
- monitor
- paling
- beberapa
- hampir
- New
- Nirlaba
- Catatan
- sekarang
- memperoleh
- terjadi
- of
- sering
- on
- or
- organisasi
- organisasi
- Lainnya
- secara keseluruhan
- Menambal
- izin
- plato
- Kecerdasan Data Plato
- Data Plato
- PoC
- Titik
- mungkin
- potensi
- praktek
- menyajikan
- mencegah
- proses
- Produksi
- mempromosikan
- di depan umum
- Menempatkan
- kualitas
- Baca
- alasan
- baru-baru ini
- direkomendasikan
- merekomendasikan
- mengenai
- dirilis
- Pers
- tinggal
- ingat
- terpencil
- berulang-ulang
- Dilaporkan
- laporan
- permintaan
- membutuhkan
- penelitian
- peneliti
- peneliti
- sumber
- Risiko
- risiko
- akar
- s
- Tersebut
- mengatakan
- pemindaian
- naskah
- rahasia
- aman
- keamanan
- Kesadaran Keamanan
- peka
- Server
- Server
- dia
- Kulit
- harus
- penandatanganan
- sejak
- Duduk
- situasi
- So
- Perangkat lunak
- pengembangan perangkat lunak
- beberapa
- sesuatu
- tertentu
- awal
- Masih
- penyimpanan
- tersimpan
- Memperkuat
- sangat
- seperti itu
- mencurigakan
- sistem
- sistem
- tugas
- tim
- tim
- uji
- pengujian
- bahwa
- Grafik
- pencurian
- kemudian
- Sana.
- Ini
- mereka
- ini
- Melalui
- untuk
- alat
- tidak mampu
- bawah
- pemahaman
- Memperbarui
- diperbarui
- meningkatkan
- URL
- us
- menggunakan
- bekas
- Pengguna
- menggunakan
- berbagai
- versi
- Versi
- sangat
- melalui
- kerentanan
- pemindaian kerentanan
- Rentan
- memperingatkan
- BAIK
- ketika
- yang
- SIAPA
- dengan
- tanpa
- kerja
- akan
- tahun
- zephyrnet.dll