Gli exploit PoC aumentano i rischi intorno alla New Jenkins Vuln critica

Circa 45,000 server Jenkins esposti a Internet rimangono privi di patch contro una vulnerabilità critica di lettura di file arbitraria, recentemente rivelata, per la quale il codice di prova dell'exploit è ora pubblicamente disponibile.

CVE-2024-23897 influisce sull'interfaccia a riga di comando (CLI) Jenkins integrata e può portare all'esecuzione di codice in modalità remota sui sistemi interessati. Il team dell'infrastruttura Jenkins ha rivelato la vulnerabilità e ha rilasciato la versione aggiornata del software il 24 gennaio.

Exploit Proof-of-Concept

Da allora, exploit proof-of-concept (PoC). è diventato disponibile il codice per la falla e ci sono alcune segnalazioni di aggressori tentando attivamente di sfruttare Esso. Il 29 gennaio, l'organizzazione no-profit ShadowServer, che monitora Internet per rilevare attività dannose, ha riferito di averne osservati circa 45,000 Istanze di Jenkins esposte su Internet che sono vulnerabili a CVE-2024-23897. Quasi 12,000 dei casi vulnerabili si trovano negli Stati Uniti; Secondo i dati di ShadowServer, la Cina ha quasi altrettanti sistemi vulnerabili.

Molti team di sviluppo software aziendale utilizzano Jenkins per creare, testare e distribuire applicazioni. Jenkins consente alle organizzazioni di automatizzare le attività ripetitive durante lo sviluppo del software, come test, controlli di qualità del codice, scansione di sicurezza e distribuzione, durante il processo di sviluppo del software. Jenkins viene spesso utilizzato anche in ambienti di integrazione continua e distribuzione continua.

Gli sviluppatori utilizzano la CLI Jenkins per accedere e gestire Jenkins da uno script o da un ambiente shell. CVE-2024-23897 è presente in una funzione di analisi dei comandi CLI abilitata per impostazione predefinita sulle versioni Jenkins 2.441 e precedenti e Jenkins LTS 2.426.2 e precedenti.

"Ciò consente agli aggressori di leggere file arbitrari sul file system del controller Jenkins utilizzando la codifica dei caratteri predefinita del processo del controller Jenkins", ha affermato il team Jenkins nel Avviso dell'24 gennaio. Il difetto consente a un utente malintenzionato con autorizzazione Generale/Lettura, qualcosa che la maggior parte degli utenti Jenkins richiederebbe, di leggere interi file. Un utente malintenzionato senza tale autorizzazione sarebbe comunque in grado di leggere le prime righe dei file, ha affermato il team di Jenkins nell'avviso.

Più vettori per RCE

La vulnerabilità mette a rischio anche i file binari contenenti chiavi crittografiche utilizzate per varie funzionalità Jenkins, come archiviazione di credenziali, firma di artefatti, crittografia e decrittografia e comunicazioni sicure. Nelle situazioni in cui un utente malintenzionato potrebbe sfruttare la vulnerabilità per ottenere chiavi crittografiche da file binari, sono possibili attacchi multipli, avverte l'advisory Jenkins. Questi includono attacchi RCE (Remote Code Execution) quando la funzione URL radice risorsa è abilitata; RCE tramite il cookie “Ricordami”; RCE attraverso attacchi di scripting cross-site; e attacchi con codice remoto che aggirano le protezioni contro la falsificazione delle richieste tra siti, afferma l'avviso.

Quando gli aggressori possono accedere alle chiavi crittografiche nei file binari tramite CVE-2024-23897, possono anche decrittografare i segreti archiviati in Jenkins, eliminare dati o scaricare un dump dell'heap Java, ha affermato il team di Jenkins.

I ricercatori di SonarSource hanno scoperto la vulnerabilità e l'hanno segnalata al team di Jenkins descritto la vulnerabilità consentendo anche agli utenti non autenticati di avere almeno il permesso di lettura su Jenkins a determinate condizioni. Ciò può includere l'abilitazione dell'autorizzazione in modalità legacy o se il server è configurato per consentire l'accesso in lettura anonimo o quando la funzionalità di registrazione è abilitata.

Yaniv Nizry, il ricercatore di sicurezza di Sonar che ha scoperto la vulnerabilità, conferma che altri ricercatori sono stati in grado di riprodurre la falla e di avere un PoC funzionante.

"Poiché è possibile sfruttare la vulnerabilità senza essere autenticati, in una certa misura è molto facile scoprire sistemi vulnerabili", osserva Nizry. “Per quanto riguarda lo sfruttamento, se un utente malintenzionato fosse interessato a elevare la lettura arbitraria del file all’esecuzione del codice, sarebbe necessaria una comprensione più approfondita di Jenkins e dell’istanza specifica. La complessità dell’escalation dipende dal contesto”.

Le nuove versioni Jenkins 2.442 e LTS versione 2.426.3 risolvono la vulnerabilità. Le organizzazioni che non possono eseguire immediatamente l'aggiornamento dovrebbero disabilitare l'accesso alla CLI per prevenire eventuali abusi, afferma l'avviso. “Si consiglia vivamente di farlo agli amministratori che non possono eseguire immediatamente l'aggiornamento a Jenkins 2.442, LTS 2.426.3. L'applicazione di questa soluzione alternativa non richiede il riavvio di Jenkins."

Patch ora

Sarah Jones, analista di ricerca sull'intelligence sulle minacce informatiche presso Critical Start, afferma che le organizzazioni che utilizzano Jenkins farebbero bene a non ignorare la vulnerabilità. "I rischi includono il furto di dati, la compromissione del sistema, l'interruzione delle pipeline e la possibilità di rilasci di software compromessi", afferma Jones.

Uno dei motivi di preoccupazione è il fatto che gli strumenti DevOps come Jenkins possono spesso contenere dati critici e sensibili che gli sviluppatori potrebbero importare dagli ambienti di produzione durante la creazione o lo sviluppo di nuove applicazioni. Un esempio calzante si è verificato l'anno scorso quando un ricercatore di sicurezza ha trovato un documento contenente 1.5 milioni di persone sulla no-fly list della TSA seduto senza protezione su un server Jenkins, appartenente a CommuteAir con sede in Ohio.

“L’applicazione immediata delle patch è fondamentale; l'aggiornamento alle versioni Jenkins 2.442 o successive (non LTS) o 2.427 o successive (LTS) indirizza CVE-2024-23897", afferma Jones. Come pratica generale, raccomanda alle organizzazioni di sviluppo di implementare un modello con privilegi minimi per limitare l'accesso e di eseguire anche la scansione delle vulnerabilità e il monitoraggio continuo delle attività sospette. Jones aggiunge: “Inoltre, promuovere la consapevolezza della sicurezza tra sviluppatori e amministratori rafforza l’approccio generale alla sicurezza”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln