インターネットに公開された約 45,000 台の Jenkins サーバーには、最近明らかになった任意のファイル読み取りの重大な脆弱性に対するパッチが適用されていないままであり、この脆弱性に対するエクスプロイト コードが公開されています。
CVE-2024-23897 組み込みの Jenkins コマンド ライン インターフェイス (CLI) に影響し、影響を受けるシステムでリモート コードが実行される可能性があります。 Jenkins インフラストラクチャ チームは 24 月 XNUMX 日にこの脆弱性を公開し、更新バージョンのソフトウェアをリリースしました。
概念実証のエクスプロイト
それ以来、 概念実証 (PoC) エクスプロイト 脆弱性に対するコードが公開されており、攻撃者の報告もいくつかあります。 積極的に悪用しようとしている それ。 29 月 XNUMX 日、インターネットでの悪意のある活動を監視する非営利団体 ShadowServer は、 約45,000匹を観察したと報告 CVE-2024-23897 に対して脆弱な、インターネットに公開された Jenkins のインスタンス。脆弱なインスタンスのうち 12,000 近くが米国にあります。 ShadowServer のデータによると、中国にもほぼ同じ数の脆弱なシステムがあります。
多くの企業ソフトウェア開発チームは、Jenkins を使用してアプリケーションを構築、テスト、デプロイします。 Jenkins を使用すると、組織はソフトウェア開発プロセス中のテスト、コード品質チェック、セキュリティ スキャン、展開などの反復的なタスクを自動化できます。 Jenkins は、継続的統合環境や継続的デプロイメント環境でもよく使用されます。
開発者は、Jenkins CLI を使用して、スクリプトまたはシェル環境から Jenkins にアクセスし、管理します。 CVE-2024-23897 は、Jenkins バージョン 2.441 以前および Jenkins LTS 2.426.2 以前でデフォルトで有効になっている CLI コマンド パーサー機能に存在します。
「これにより、攻撃者は、Jenkins コントローラー プロセスのデフォルトの文字エンコーディングを使用して、Jenkins コントローラー ファイル システム上の任意のファイルを読み取ることができます」と Jenkins チームは述べています。 24月XNUMX日注意報。この欠陥により、ほとんどの Jenkins ユーザーが必要とする全体/読み取り権限を持つ攻撃者がファイル全体を読み取ることができます。 Jenkinsチームは勧告の中で、その権限を持たない攻撃者でもファイルの最初の数行を読み取ることができると述べた。
RCE の複数のベクトル
この脆弱性により、資格情報の保存、アーティファクトの署名、暗号化と復号化、安全な通信などのさまざまな Jenkins 機能に使用される暗号キーを含むバイナリ ファイルも危険にさらされます。攻撃者がこの脆弱性を悪用してバイナリファイルから暗号キーを取得する可能性がある状況では、複数の攻撃が可能になるとJenkins勧告は警告している。これには、リソース ルート URL 機能が有効になっている場合のリモート コード実行 (RCE) 攻撃が含まれます。 「Remember me」Cookie を介した RCE。クロスサイト スクリプティング攻撃による RCE。勧告には、クロスサイトリクエストフォージェリ保護を回避するリモートコード攻撃も含まれていると述べた。
攻撃者が CVE-2024-23897 経由でバイナリ ファイル内の暗号キーにアクセスできる場合、Jenkins に保存されている秘密を復号したり、データを削除したり、Java ヒープ ダンプをダウンロードしたりすることもできる、と Jenkins チームは述べています。
脆弱性を発見し、Jenkins チームに報告した SonarSource の研究者 脆弱性について説明しました これにより、認証されていないユーザーであっても、特定の条件下で Jenkins に対する少なくとも読み取り権限を付与できるようになります。これには、レガシー モード認証が有効になっているかどうか、サーバーが匿名読み取りアクセスを許可するように構成されているかどうか、またはサインアップ機能が有効になっているかどうかが含まれます。
この脆弱性を発見した Sonar のセキュリティ研究者、Yaniv Nizry 氏は、他の研究者がこの欠陥を再現し、実証実験を実施できたことを認めています。
「認証されずに脆弱性を悪用することがある程度可能であるため、脆弱なシステムを発見するのは非常に簡単です」とニズリー氏は指摘します。 「悪用に関して、攻撃者が読み取った任意のファイルをコード実行に昇格させることに興味がある場合、Jenkins と特定のインスタンスについてのより深い理解が必要になります。エスカレーションの複雑さは状況によって異なります。」
新しい Jenkins バージョン 2.442 と LTS バージョン 2.426.3 はこの脆弱性に対処しています。すぐにアップグレードできない組織は、悪用を防ぐために CLI アクセスを無効にする必要があると勧告では述べています。 「Jenkins 2.442、LTS 2.426.3 にすぐに更新できない管理者には、そうすることを強くお勧めします。この回避策を適用する場合、Jenkins を再起動する必要はありません。」
今すぐパッチを適用する
Critical Start のサイバー脅威インテリジェンス調査アナリストである Sarah Jones 氏は、Jenkins を使用している組織はこの脆弱性を無視しない方がよいと述べています。 「リスクには、データの盗難、システムの侵害、パイプラインの中断、および侵害されたソフトウェアのリリースの可能性が含まれます」とジョーンズ氏は言います。
懸念の理由の 1 つは、Jenkins などの DevOps ツールには、開発者が新しいアプリケーションを構築または開発するときに実稼働環境から持ち込む可能性のある重要な機密データが含まれている可能性があるという事実です。昨年、セキュリティ研究者が次のような文書を発見したという好例が発生しました。 TSAの飛行禁止リストに1.5万人が登録 オハイオ州を拠点とする CommuteAir に属する Jenkins サーバー上に無防備に座っています。
「直ちにパッチを適用することが重要です。 Jenkins バージョン 2.442 以降 (非 LTS) または 2.427 以降 (LTS) にアップグレードすると、CVE-2024-23897 に対処できます」と Jones 氏は言います。彼女は、一般的な実践として、開発組織がアクセスを制限するための最小特権モデルを実装し、脆弱性スキャンと不審なアクティビティの継続的な監視も行うことを推奨しています。 Jones 氏はさらに、「さらに、開発者や管理者の間でセキュリティ意識を高めることで、全体的なセキュリティ体制が強化されます。」と付け加えました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- :持っている
- :は
- :not
- :どこ
- 000
- 12
- 24
- 29
- 7
- a
- できる
- アクセス
- 従った
- 活動
- アクティビティ
- さらに
- 住所
- アドレス
- 追加
- 管理者
- アドバイザリー
- 影響を受けました
- に対して
- 許す
- 許可
- ことができます
- ほとんど
- また
- 間で
- an
- アナリスト
- および
- 匿名の
- 適用
- です
- 周りに
- AS
- At
- 攻撃
- 試みる
- 承認
- 自動化する
- 利用できます
- 認知度
- BE
- になる
- き
- 所属
- 持って来る
- ビルド
- 建物
- 内蔵
- by
- 缶
- 場合
- 一定
- 文字
- 小切手
- 中国
- コード
- 通信部
- 複雑さ
- 妥協
- 損害を受けた
- 懸念
- 条件
- 設定された
- 含む
- コンテキスト
- 連続的な
- コントローラ
- クレデンシャル
- 重大な
- 重大な
- 暗号
- データ
- 解読する
- より深い
- デフォルト
- 依存
- 展開します
- 展開
- 開発者
- 開発
- 開発
- 開発チーム
- 発見する
- 発見
- 混乱した
- do
- ドキュメント
- ありません
- すること
- ダウンロード
- ダンプ
- 間に
- 前
- 簡単に
- 昇降する
- 使用可能
- エンコーディング
- 暗号化
- Enterprise
- エンタープライズソフトウェア
- 全体
- 環境
- 環境
- エスカレーション
- さらに
- 実行
- 悪用する
- 搾取
- エクスプロイト
- エクステント
- 実際
- 特徴
- 特徴
- 少数の
- File
- 名
- 欠陥
- 偽造
- 発見
- から
- function
- 持ってる
- 持って
- HTTPS
- if
- 無視する
- 即時の
- 直ちに
- 実装する
- in
- include
- 個人
- インフラ関連事業
- 統合
- インテリジェンス
- 興味がある
- インタフェース
- インターネット
- IT
- ジョン
- Java
- ジョーンズ
- JPG
- キー
- 姓
- 昨年
- 後で
- つながる
- 最低
- Legacy
- 制限する
- LINE
- ライン
- 位置して
- 悪意のある
- 管理します
- 多くの
- me
- かもしれない
- 百万
- モード
- モニタリング
- モニター
- 最も
- の試合に
- ほぼ
- 新作
- 非営利の
- ノート
- 今
- 入手する
- 発生した
- of
- 頻繁に
- on
- or
- 組織
- 組織
- その他
- 全体
- 補修
- 許可
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- PoC
- ポイント
- 可能
- 潜在的な
- 練習
- 現在
- 防ぐ
- プロセス
- 生産
- 推進
- 公然と
- 置く
- 品質
- 読む
- 理由
- 最近
- 推奨される
- お勧めする
- に対する
- リリース
- リリース
- 残る
- 覚えています
- リモート
- 反復的な
- 報告
- レポート
- 要求
- 必要とする
- 研究
- 研究者
- 研究者
- リソースを追加する。
- リスク
- リスク
- ルート
- s
- 前記
- 言う
- スキャニング
- スクリプト
- 秘密
- 安全に
- セキュリティ
- セキュリティー認識
- 敏感な
- サーバー
- 彼女
- シェル(Shell)
- すべき
- 署名
- から
- 座っている
- 状況
- So
- ソフトウェア
- ソフトウェア開発
- 一部
- 何か
- 特定の
- start
- まだ
- ストレージ利用料
- 保存され
- 強化する
- 強く
- そのような
- 疑わしい
- システム
- タスク
- チーム
- チーム
- test
- テスト
- それ
- 盗難
- その後
- そこ。
- ボーマン
- 彼ら
- この
- 介して
- 〜へ
- 豊富なツール群
- できません
- 下
- 理解する
- アップデイト
- 更新しました
- アップグレード
- URL
- us
- つかいます
- 中古
- users
- さまざまな
- バージョン
- バージョン
- 非常に
- 、
- 脆弱性
- 脆弱性スキャン
- 脆弱な
- 警告
- WELL
- いつ
- which
- 誰
- 無し
- ワーキング
- でしょう
- 年
- ゼファーネット