PoC エクスプロイトにより重大な新しい Jenkins Vuln のリスクが高まる

インターネットに公開された約 45,000 台の Jenkins サーバーには、最近明らかになった任意のファイル読み取りの重大な脆弱性に対するパッチが適用されていないままであり、この脆弱性に対するエクスプロイト コードが公開されています。

CVE-2024-23897 組み込みの Jenkins コマンド ライン インターフェイス (CLI) に影響し、影響を受けるシステムでリモート コードが実行される可能性があります。 Jenkins インフラストラクチャ チームは 24 月 XNUMX 日にこの脆弱性を公開し、更新バージョンのソフトウェアをリリースしました。

概念実証のエクスプロイト

それ以来、 概念実証 (PoC) エクスプロイト 脆弱性に対するコードが公開されており、攻撃者の報告もいくつかあります。 積極的に悪用しようとしている それ。 29 月 XNUMX 日、インターネットでの悪意のある活動を監視する非営利団体 ShadowServer は、 約45,000匹を観察したと報告 CVE-2024-23897 に対して脆弱な、インターネットに公開された Jenkins のインスタンス。脆弱なインスタンスのうち 12,000 近くが米国にあります。 ShadowServer のデータによると、中国にもほぼ同じ数の脆弱なシステムがあります。

多くの企業ソフトウェア開発チームは、Jenkins を使用してアプリケーションを構築、テスト、デプロイします。 Jenkins を使用すると、組織はソフトウェア開発プロセス中のテスト、コード品質チェック、セキュリティ スキャン、展開などの反復的なタスクを自動化できます。 Jenkins は、継続的統合環境や継続的デプロイメント環境でもよく使用されます。

開発者は、Jenkins CLI を使用して、スクリプトまたはシェル環境から Jenkins にアクセスし、管理します。 CVE-2024-23897 は、Jenkins バージョン 2.441 以前および Jenkins LTS 2.426.2 以前でデフォルトで有効になっている CLI コマンド パーサー機能に存在します。

「これにより、攻撃者は、Jenkins コントローラー プロセスのデフォルトの文字エンコーディングを使用して、Jenkins コントローラー ファイル システム上の任意のファイルを読み取ることができます」と Jenkins チームは述べています。 24月XNUMX日注意報。この欠陥により、ほとんどの Jenkins ユーザーが必要とする全体/読み取り権限を持つ攻撃者がファイル全体を読み取ることができます。 Jenkinsチームは勧告の中で、その権限を持たない攻撃者でもファイルの最初の数行を読み取ることができると述べた。

RCE の複数のベクトル

この脆弱性により、資格情報の保存、アーティファクトの署名、暗号化と復号化、安全な通信などのさまざまな Jenkins 機能に使用される暗号キーを含むバイナリ ファイルも危険にさらされます。攻撃者がこの脆弱性を悪用してバイナリファイルから暗号キーを取得する可能性がある状況では、複数の攻撃が可能になるとJenkins勧告は警告している。これには、リソース ルート URL 機能が有効になっている場合のリモート コード実行 (RCE) 攻撃が含まれます。 「Remember me」Cookie を介した RCE。クロスサイト スクリプティング攻撃による RCE。勧告には、クロスサイトリクエストフォージェリ保護を回避するリモートコード攻撃も含まれていると述べた。

攻撃者が CVE-2024-23897 経由でバイナリ ファイル内の暗号キーにアクセスできる場合、Jenkins に保存されている秘密を復号したり、データを削除したり、Java ヒープ ダンプをダウンロードしたりすることもできる、と Jenkins チームは述べています。

脆弱性を発見し、Jenkins チームに報告した SonarSource の研究者 脆弱性について説明しました これにより、認証されていないユーザーであっても、特定の条件下で Jenkins に対する少なくとも読み取り権限を付与できるようになります。これには、レガシー モード認証が有効になっているかどうか、サーバーが匿名読み取りアクセスを許可するように構成されているかどうか、またはサインアップ機能が有効になっているかどうかが含まれます。

この脆弱性を発見した Sonar のセキュリティ研究者、Yaniv Nizry 氏は、他の研究者がこの欠陥を再現し、実証実験を実施できたことを認めています。

「認証されずに脆弱性を悪用することがある程度可能であるため、脆弱なシステムを発見するのは非常に簡単です」とニズリー氏は指摘します。 「悪用に関して、攻撃者が読み取った任意のファイルをコード実行に昇格させることに興味がある場合、Jenkins と特定のインスタンスについてのより深い理解が必要になります。エスカレーションの複雑さは状況によって異なります。」

新しい Jenkins バージョン 2.442 と LTS バージョン 2.426.3 はこの脆弱性に対処しています。すぐにアップグレードできない組織は、悪用を防ぐために CLI アクセスを無効にする必要があると勧告では述べています。 「Jenkins 2.442、LTS 2.426.3 にすぐに更新できない管理者には、そうすることを強くお勧めします。この回避策を適用する場合、Jenkins を再起動する必要はありません。」

今すぐパッチを適用する

Critical Start のサイバー脅威インテリジェンス調査アナリストである Sarah Jones 氏は、Jenkins を使用している組織はこの脆弱性を無視しない方がよいと述べています。 「リスクには、データの盗難、システムの侵害、パイプラインの中断、および侵害されたソフトウェアのリリースの可能性が含まれます」とジョーンズ氏は言います。

懸念の理由の 1 つは、Jenkins などの DevOps ツールには、開発者が新しいアプリケーションを構築または開発するときに実稼働環境から持ち込む可能性のある重要な機密データが含まれている可能性があるという事実です。昨年、セキュリティ研究者が次のような文書を発見したという好例が発生しました。 TSAの飛行禁止リストに1.5万人が登録 オハイオ州を拠点とする CommuteAir に属する Jenkins サーバー上に無防備に座っています。

「直ちにパッチを適用することが重要です。 Jenkins バージョン 2.442 以降 (非 LTS) または 2.427 以降 (LTS) にアップグレードすると、CVE-2024-23897 に対処できます」と Jones 氏は言います。彼女は、一般的な実践として、開発組織がアクセスを制限するための最小特権モデルを実装し、脆弱性スキャンと不審なアクティビティの継続的な監視も行うことを推奨しています。 Jones 氏はさらに、「さらに、開発者や管理者の間でセキュリティ意識を高めることで、全体的なセキュリティ体制が強化されます。」と付け加えました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln