כ-45,000 שרתי Jenkins חשופים לאינטרנט נותרו ללא תיקון כנגד פגיעות קריטית של קריאת קבצים שנחשפה לאחרונה, שקוד הוכחת ניצול עבורה זמין כעת לציבור.
CVE-2024-23897 משפיע על ממשק שורת הפקודה המובנה של Jenkins (CLI) ויכול להוביל לביצוע קוד מרחוק במערכות מושפעות. צוות התשתית של ג'נקינס חשף את הפגיעות, ושחרר תוכנת גרסה מעודכנת, ב-24 בינואר.
ניצול הוכחת מושג
מאז, ניצול הוכחת מושג (PoC). הקוד הפך לזמין עבור הפגם ויש כמה דיווחים על תוקפים מנסה לנצל באופן פעיל זה. ב-29 בינואר, ארגון ShadowServer ללא מטרות רווח, המנטר את האינטרנט לאיתור פעילות זדונית, דיווחו שצפו בסביבות 45,000 מופעים חשופים לאינטרנט של ג'נקינס הפגיעים ל-CVE-2024-23897. כמעט 12,000 מהמקרים הפגיעים נמצאים בארה"ב; לסין יש מערכות פגיעות כמעט באותה מידה, לפי נתוני ShadowServer.
צוותי פיתוח תוכנה ארגוניים רבים משתמשים בג'נקינס כדי לבנות, לבדוק ולפרוס יישומים. Jenkins מאפשר לארגונים להפוך משימות חוזרות ונשנות במהלך פיתוח תוכנה - כגון בדיקות, בדיקות איכות קוד, סריקת אבטחה ופריסה - במהלך תהליך פיתוח התוכנה. ג'נקינס משמש לעתים קרובות גם בסביבות אינטגרציה רציפה ופריסה רציפה.
מפתחים משתמשים ב-Jenkins CLI כדי לגשת ולנהל את Jenkins מסקריפט או סביבת מעטפת. CVE-2024-23897 קיים בתכונת מנתח פקודות CLI המופעלת כברירת מחדל בגרסאות Jenkins 2.441 ואילך ו-Jenkins LTS 2.426.2 ומעלה.
"זה מאפשר לתוקפים לקרוא קבצים שרירותיים במערכת הקבצים של ג'נקינס באמצעות קידוד התווים המוגדר כברירת מחדל של תהליך הבקר של ג'נקינס", אמר צוות ג'נקינס ב- ייעוץ 24 בינואר. הפגם מאפשר לתוקף עם הרשאה כללית/קריאה - משהו שרוב משתמשי ג'נקינס ידרשו - לקרוא קבצים שלמים. תוקף ללא הרשאה זו עדיין יוכל לקרוא את השורות הראשונות של הקבצים, אמר צוות ג'נקינס בייעוץ.
וקטורים מרובים עבור RCE
הפגיעות מסכנת גם קבצים בינאריים המכילים מפתחות קריפטוגרפיים המשמשים לתכונות שונות של ג'נקינס, כגון אחסון אישורים, חתימת חפצים, הצפנה ופענוח ותקשורת מאובטחת. במצבים שבהם תוקף עלול לנצל את הפגיעות כדי להשיג מפתחות קריפטוגרפיים מקבצים בינאריים, התקפות מרובות אפשריות, הזהיר הייעוץ של ג'נקינס. אלה כוללים התקפות של ביצוע קוד מרחוק (RCE) כאשר הפונקציה Resource Root URL מופעלת; RCE באמצעות קובץ ה-cookie "זכור אותי"; RCE באמצעות התקפות סקריפטים בין-אתרים; והתקפות קוד מרחוק שעוקפות הגנות זיוף של בקשות חוצות אתרים, אמר היועץ.
כאשר תוקפים יכולים לגשת למפתחות קריפטוגרפיים בקבצים בינאריים דרך CVE-2024-23897, הם יכולים גם לפענח סודות המאוחסנים בג'נקינס, למחוק נתונים או להוריד ערימה של Java, אמר צוות ג'נקינס.
חוקרים מ- SonarSource שגילו את הפגיעות ודיווחו עליה לצוות Jenkins תיאר את הפגיעות כמו שמאפשר אפילו למשתמשים לא מאומתים לקבל לפחות הרשאת קריאה על Jenkins בתנאים מסוימים. זה יכול לכלול הפעלת הרשאת מצב מדור קודם, או אם השרת מוגדר לאפשר גישת קריאה אנונימית, או כאשר תכונת ההרשמה מופעלת.
יניב נזרי, חוקר האבטחה בסונאר שגילה את הפגיעות, מאשר שחוקרים אחרים הצליחו לשחזר את הפגם ויש להם PoC עובד.
"מכיוון שניתן לנצל את הפגיעות ללא אימות, במידה מסוימת, קל מאוד לגלות מערכות פגיעות", מציין ניזרי. "לגבי ניצול, אם תוקף מעוניין להעלות את הקריאה של הקובץ השרירותי לביצוע קוד, זה ידרוש הבנה מעמיקה יותר של ג'נקינס והמופע הספציפי. המורכבות של ההסלמה תלויה בהקשר".
הגירסאות החדשות של Jenkins 2.442 ו-LTS גרסה 2.426.3 מטפלות בפגיעות. ארגונים שאינם יכולים לשדרג באופן מיידי צריכים להשבית את גישת ה-CLI כדי למנוע ניצול, אמר היועץ. "לעשות זאת מומלץ מאוד למנהלי מערכת שאינם יכולים לעדכן באופן מיידי ל-Jenkins 2.442, LTS 2.426.3. יישום פתרון זה אינו מצריך הפעלה מחדש של ג'נקינס."
תיקון עכשיו
שרה ג'ונס, אנליסטית מחקר מודיעין של איומי סייבר ב-Critical Start, אומרת שארגונים המשתמשים בג'נקינס ייטיבו שלא להתעלם מהפגיעות. "הסיכונים כוללים גניבת נתונים, פגיעה במערכת, שיבושים בצנרת ופוטנציאל לשחרור תוכנה בסיכון", אומר ג'ונס.
אחת הסיבות לדאגה היא העובדה שכלי DevOps כמו Jenkins יכולים לעתים קרובות להכיל נתונים קריטיים ורגישים שמפתחים עשויים להביא מסביבות ייצור בעת בנייה או פיתוח של יישומים חדשים. מקרה נקודתי אירע בשנה שעברה כאשר חוקר אבטחה מצא מסמך המכיל 1.5 מיליון אנשים ברשימת אסור לטיסה של ה-TSA יושב ללא הגנה על שרת Jenkins, השייך ל-CommuteAir מאוהיו.
"תיקון מיידי הוא קריטי; שדרוג לגרסאות Jenkins 2.442 ואילך (לא-LTS) או 2.427 ואילך (LTS) כתובות CVE-2024-23897", אומר ג'ונס. כפרקטיקה כללית היא ממליצה לארגוני פיתוח להטמיע מודל הכי פחות זכויות להגבלת גישה, וגם לבצע סריקת פגיעות וניטור רציף אחר פעילויות חשודות. ג'ונס מוסיף: "בנוסף, קידום המודעות לאבטחה בקרב מפתחים ומנהלי מערכת מחזק את עמדת האבטחה הכוללת."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- :יש ל
- :הוא
- :לֹא
- :איפה
- 000
- 12
- 24
- 29
- 7
- a
- יכול
- גישה
- פי
- פעילויות
- פעילות
- בנוסף
- כתובת
- כתובות
- מוסיף
- מנהלים
- ייעוץ
- מושפע
- נגד
- להתיר
- מאפשר
- מאפשר
- כמעט
- גם
- בין
- an
- מנתח
- ו
- אנונימי
- יישומים
- מריחה
- ARE
- סביב
- AS
- At
- המתקפות
- מנסה
- אישור
- אוטומטי
- זמין
- מודעות
- BE
- להיות
- היה
- שייכות
- להביא
- לִבנוֹת
- בִּניָן
- מובנה
- by
- לעקוף
- CAN
- לא יכול
- מקרה
- מסוים
- אופי
- בדיקות
- סין
- קוד
- תקשורת
- מורכבות
- פשרה
- התפשר
- דְאָגָה
- תנאים
- מוגדר
- להכיל
- הקשר
- רציף
- בקר
- תְעוּדָה
- קריטי
- מכריע
- קריפטוגרפי
- נתונים
- פענוח
- עמוק יותר
- בְּרִירַת מֶחדָל
- תלוי
- לפרוס
- פריסה
- מפתחים
- מתפתח
- צעצועי התפתחות
- צוותי פיתוח
- לגלות
- גילה
- שיבש
- do
- מסמך
- עושה
- עושה
- להורדה
- שפך
- בְּמַהֲלָך
- מוקדם יותר
- קל
- הר
- מופעל
- הַצפָּנָה
- הצף
- מִפְעָל
- תוכנה ארגונית
- שלם
- סביבה
- סביבות
- הסלמה
- אֲפִילוּ
- הוצאת להורג
- לנצל
- ניצול
- מעללים
- מידה
- עובדה
- מאפיין
- תכונות
- מעטים
- שלח
- קבצים
- ראשון
- פגם
- בעד
- זיוף
- מצא
- החל מ-
- פונקציה
- כללי
- יש
- יש
- HTTPS
- if
- להתעלם
- מיידי
- מיד
- ליישם
- in
- לכלול
- אנשים
- תשתית
- למשל
- השתלבות
- מוֹדִיעִין
- מעוניין
- מִמְשָׁק
- אינטרנט
- IT
- יאן
- Java
- ג'ונס
- jpg
- מפתחות
- אחרון
- שנה שעברה
- מאוחר יותר
- עוֹפֶרֶת
- הכי פחות
- מוֹרֶשֶׁת
- מגביל
- קו
- קווים
- ממוקם
- זדוני
- לנהל
- רב
- me
- יכול
- מִילִיוֹן
- מצב
- מודל
- ניטור
- צגים
- רוב
- מספר
- כמעט
- חדש
- ללא כוונת רווח
- הערות
- עַכשָׁיו
- להשיג
- התרחשה
- of
- לעתים קרובות
- on
- or
- ארגון
- ארגונים
- אחר
- מקיף
- תיקון
- רשות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- PoC
- נקודה
- אפשרי
- פוטנציאל
- תרגול
- להציג
- למנוע
- תהליך
- הפקה
- קידום
- בפומבי
- מכניס
- איכות
- חומר עיוני
- טעם
- לאחרונה
- מוּמלָץ
- ממליצה
- בדבר
- שוחרר
- עיתונות
- להשאר
- לזכור
- מרחוק
- חוזר על עצמו
- דווח
- דוחות לדוגמא
- לבקש
- לדרוש
- מחקר
- חוקר
- חוקרים
- משאב
- הסיכון
- סיכונים
- שורש
- s
- אמר
- אומר
- סריקה
- תסריט
- סודות
- לבטח
- אבטחה
- מודעות ביטחונית
- רגיש
- שרת
- שרתים
- היא
- פָּגָז
- צריך
- חתימה
- since
- ישיבה
- מצבים
- So
- תוכנה
- פיתוח תוכנה
- כמה
- משהו
- ספציפי
- התחלה
- עוד
- אחסון
- מאוחסן
- מתחזק
- בְּתוֹקֶף
- כזה
- חשוד
- מערכת
- מערכות
- משימות
- נבחרת
- צוותי
- מבחן
- בדיקות
- זֶה
- השמיים
- גְנֵבָה
- אז
- שם.
- אלה
- הֵם
- זֶה
- דרך
- ל
- כלים
- לא מסוגל
- תחת
- הבנה
- עדכון
- מְעוּדכָּן
- שדרוג
- כתובת האתר
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- שונים
- גרסה
- גירסאות
- מאוד
- באמצעות
- פגיעות
- סריקת פגיעות
- פגיע
- מוזהר
- טוֹב
- מתי
- אשר
- מי
- עם
- לְלֹא
- עובד
- היה
- שנה
- זפירנט