PoC utnytter øker risikoene rundt kritiske nye Jenkins Vuln

Omtrent 45,000 XNUMX Internett-eksponerte Jenkins-servere forblir uoppdaterte mot en kritisk, nylig avslørt vilkårlig fillesningssårbarhet som proof-of-exploit-kode nå er offentlig tilgjengelig for.

CVE-2024-23897 påvirker det innebygde Jenkins kommandolinjegrensesnitt (CLI) og kan føre til ekstern kjøring av kode på berørte systemer. Jenkins infrastrukturteam avslørte sårbarheten, og ga ut oppdatert versjonsprogramvare 24. januar.

Proof-of-Concept-utnyttelse

Siden da, proof-of-concept (PoC) utnyttelse kode har blitt tilgjengelig for feilen, og det er noen rapporter om angripere aktivt forsøker å utnytte den. 29. januar, den ideelle organisasjonen ShadowServer, som overvåker Internett for ondsinnet aktivitet, rapportert å observere rundt 45,000 XNUMX Internett-eksponerte forekomster av Jenkins som er sårbare for CVE-2024-23897. Nesten 12,000 XNUMX av de sårbare tilfellene er lokalisert i USA; Kina har nesten like mange sårbare systemer, ifølge ShadowServer-data.

Mange bedriftsprogramvareutviklingsteam bruker Jenkins til å bygge, teste og distribuere applikasjoner. Jenkins lar organisasjoner automatisere repeterende oppgaver under programvareutvikling - som testing, kodekvalitetskontroller, sikkerhetsskanning og distribusjon - under programvareutviklingsprosessen. Jenkins brukes også ofte i miljøer med kontinuerlig integrasjon og kontinuerlig distribusjon.

Utviklere bruker Jenkins CLI for å få tilgang til og administrere Jenkins fra et skript eller et skallmiljø. CVE-2024-23897 er til stede i en CLI-kommandoparserfunksjon som er aktivert som standard på Jenkins versjoner 2.441 og tidligere og Jenkins LTS 2.426.2 og tidligere.

"Dette lar angripere lese vilkårlige filer på Jenkins-kontrollerens filsystem ved å bruke standard tegnkoding av Jenkins-kontrollerprosessen," sa Jenkins-teamet i 24. januar rådgivende. Feilen lar en angriper med generell/lese-tillatelse – noe som de fleste Jenkins-brukere trenger – lese hele filer. En angriper uten den tillatelsen vil fortsatt kunne lese de første par linjene med filer, sa Jenkins-teamet i meldingen.

Flere vektorer for RCE

Sårbarheten setter også binære filer som inneholder kryptografiske nøkler som brukes til ulike Jenkins-funksjoner, som legitimasjonslagring, artefaktsignering, kryptering og dekryptering og sikker kommunikasjon i fare. I situasjoner der en angriper kan utnytte sårbarheten til å skaffe kryptografiske nøkler fra binære filer, er flere angrep mulig, advarte Jenkins-rådgivningen. Disse inkluderer RCE-angrep (Remote Code execution) når funksjonen Resource Root URL er aktivert; RCE via "Husk meg"-informasjonskapselen; RCE gjennom cross-site scripting angrep; og eksterne kodeangrep som omgår forfalskningsbeskyttelse på tvers av nettsteder, sa rådgiveren.

Når angripere kan få tilgang til kryptografiske nøkler i binære filer via CVE-2024-23897, kan de også dekryptere hemmeligheter lagret i Jenkins, slette data eller laste ned en Java-heap-dump, sa Jenkins-teamet.

Forskere fra SonarSource som oppdaget sårbarheten og rapporterte den til Jenkins-teamet beskrevet sårbarheten som tillater selv uautentiserte brukere å ha minst lesetillatelse på Jenkins under visse betingelser. Dette kan inkludere å ha autorisasjon i eldre modus aktivert, eller hvis serveren er konfigurert til å tillate anonym lesetilgang, eller når registreringsfunksjonen er aktivert.

Yaniv Nizry, sikkerhetsforskeren ved Sonar som oppdaget sårbarheten, bekrefter at andre forskere har vært i stand til å reprodusere feilen og har en fungerende PoC.

"Siden det er mulig å utnytte sårbarheten uautentisert, til en viss grad, er det veldig enkelt å oppdage sårbare systemer," bemerker Nizry. "Angående utnyttelse, hvis en angriper er interessert i å heve den vilkårlige filen som er lest til kodekjøring, vil det kreve litt dypere forståelse av Jenkins og den spesifikke forekomsten. Kompleksiteten til eskalering er avhengig av konteksten."

De nye Jenkins-versjonene 2.442 og LTS versjon 2.426.3 adresserer sikkerhetsproblemet. Organisasjoner som ikke umiddelbart kan oppgradere, bør deaktivere CLI-tilgang for å forhindre utnyttelse, sa rådgiveren. "Det anbefales sterkt for administratorer som ikke umiddelbart kan oppdatere til Jenkins 2.442, LTS 2.426.3. Å bruke denne løsningen krever ikke en Jenkins-omstart."

Patch nå

Sarah Jones, etterretningsanalytiker for cybertrusler ved Critical Start, sier at organisasjoner som bruker Jenkins ikke vil ignorere sårbarheten. "Risikoene inkluderer datatyveri, systemkompromittering, forstyrrede rørledninger og potensialet for kompromitterte programvareutgivelser," sier Jones.

En grunn til bekymringen er det faktum at DevOps-verktøy som Jenkins ofte kan inneholde kritiske og sensitive data som utviklere kan hente inn fra produksjonsmiljøer når de bygger eller utvikler nye applikasjoner. Et eksempel skjedde i fjor da en sikkerhetsforsker fant et dokument som inneholdt 1.5 millioner individer på TSAs flyforbudsliste sitter ubeskyttet på en Jenkins-server, som tilhører Ohio-baserte CommuteAir.

«Umiddelbar oppdatering er avgjørende; oppgradering til Jenkins versjon 2.442 eller nyere (ikke-LTS) eller 2.427 eller nyere (LTS) adresser CVE-2024-23897," sier Jones. Som en generell praksis anbefaler hun at utviklingsorganisasjoner implementerer en minst-privilegert modell for å begrense tilgangen, og også gjør sårbarhetsskanning og kontinuerlig overvåking for mistenkelige aktiviteter. Jones legger til: "I tillegg styrker det å fremme sikkerhetsbevissthet blant utviklere og administratorer den generelle sikkerhetsstillingen."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln