Około 45,000 XNUMX serwerów Jenkins odsłoniętych w Internecie pozostaje niezałatanych pod kątem krytycznej, niedawno ujawnionej luki w zabezpieczeniach związanej z przypadkowym odczytem plików, dla której kod potwierdzający exploit jest już publicznie dostępny.
CVE-2024-23897 wpływa na wbudowany interfejs wiersza poleceń Jenkins (CLI) i może prowadzić do zdalnego wykonania kodu w systemach, których dotyczy problem. Zespół ds. infrastruktury Jenkins ujawnił lukę i 24 stycznia udostępnił zaktualizowaną wersję oprogramowania.
Exploity związane z weryfikacją koncepcji
Od tego czasu Exploit typu proof-of-concept (PoC). Kod dotyczący luki stał się dostępny i istnieją doniesienia o osobach atakujących aktywnie próbuje wykorzystać To. 29 stycznia organizacja non-profit ShadowServer monitorująca Internet pod kątem szkodliwej aktywności, zgłosił obserwację około 45,000 XNUMX Instancje Jenkinsa ujawnione w Internecie, które są podatne na CVE-2024-23897. Prawie 12,000 XNUMX bezbronnych instancji znajduje się w USA; Z danych ShadowServer wynika, że w Chinach jest prawie tyle samo podatnych na ataki systemów.
Wiele zespołów zajmujących się tworzeniem oprogramowania dla przedsiębiorstw używa Jenkinsa do tworzenia, testowania i wdrażania aplikacji. Jenkins umożliwia organizacjom automatyzację powtarzalnych zadań podczas tworzenia oprogramowania — takich jak testowanie, kontrola jakości kodu, skanowanie bezpieczeństwa i wdrażanie — podczas procesu tworzenia oprogramowania. Jenkins jest również często używany w środowiskach ciągłej integracji i ciągłego wdrażania.
Programiści używają interfejsu CLI Jenkins, aby uzyskać dostęp do Jenkins i zarządzać nim ze skryptu lub środowiska powłoki. CVE-2024-23897 występuje w funkcji analizatora poleceń CLI, która jest domyślnie włączona w Jenkins w wersjach 2.441 i wcześniejszych oraz Jenkins LTS 2.426.2 i wcześniejszych.
„Dzięki temu atakujący mogą odczytać dowolne pliki w systemie plików kontrolera Jenkins przy użyciu domyślnego kodowania znaków procesu kontrolera Jenkins” – stwierdził zespół Jenkins w 24 stycznia porada. Luka umożliwia atakującemu z uprawnieniami Ogółem/Odczyt — czymś, czego wymagałaby większość użytkowników Jenkinsa — odczytanie całych plików. Zespół Jenkins stwierdził w poradniku, że osoba atakująca bez tego uprawnienia nadal będzie w stanie odczytać kilka pierwszych wierszy plików.
Wiele wektorów dla RCE
Luka stwarza również ryzyko dla plików binarnych zawierających klucze kryptograficzne używane do różnych funkcji Jenkins, takich jak przechowywanie danych uwierzytelniających, podpisywanie artefaktów, szyfrowanie i deszyfrowanie oraz bezpieczna komunikacja. W sytuacjach, w których osoba atakująca może wykorzystać tę lukę w celu uzyskania kluczy kryptograficznych z plików binarnych, możliwych jest wielokrotnych ataków – ostrzega Jenkins. Należą do nich ataki na zdalne wykonanie kodu (RCE), gdy włączona jest funkcja głównego adresu URL zasobu; RCE poprzez plik cookie „Zapamiętaj mnie”; RCE poprzez ataki typu cross-site scripting; oraz zdalne ataki kodem, które omijają zabezpieczenia przed fałszowaniem żądań z różnych witryn – stwierdzono w poradniku.
Gdy napastnicy mogą uzyskać dostęp do kluczy kryptograficznych w plikach binarnych za pośrednictwem CVE-2024-23897, mogą również odszyfrować sekrety przechowywane w Jenkins, usunąć dane lub pobrać zrzut sterty Java, stwierdził zespół Jenkins.
Badacze z SonarSource, którzy odkryli lukę i zgłosili ją zespołowi Jenkinsa opisał lukę jako umożliwienie nawet nieuwierzytelnionym użytkownikom przynajmniej uprawnienia do odczytu Jenkinsa pod pewnymi warunkami. Może to obejmować włączenie autoryzacji w starszym trybie, skonfigurowanie serwera w celu umożliwienia anonimowego dostępu do odczytu lub włączenie funkcji rejestracji.
Yaniv Nizry, badacz bezpieczeństwa w firmie Sonar, który odkrył tę lukę, potwierdza, że innym badaczom udało się odtworzyć tę lukę i mieć działający PoC.
„Ponieważ w pewnym stopniu możliwe jest wykorzystanie tej luki w sposób nieuwierzytelniony, bardzo łatwo jest wykryć podatne systemy” – zauważa Nizry. „Jeśli chodzi o wykorzystanie, jeśli osoba atakująca jest zainteresowana podniesieniem poziomu dowolnego odczytanego pliku do wykonania kodu, wymagałoby to głębszego zrozumienia Jenkinsa i konkretnej instancji. Złożoność eskalacji zależy od kontekstu.”
Nowe wersje Jenkins 2.442 i LTS 2.426.3 usuwają tę lukę. Organizacje, które nie mogą natychmiast dokonać aktualizacji, powinny wyłączyć dostęp do interfejsu CLI, aby zapobiec wykorzystaniu, czytamy w poradniku. „Zdecydowanie zaleca się takie postępowanie administratorom, którzy nie mogą natychmiast dokonać aktualizacji do Jenkins 2.442, LTS 2.426.3. Zastosowanie tego obejścia nie wymaga ponownego uruchomienia Jenkinsa.”
Popraw teraz
Sarah Jones, analityk ds. badań nad zagrożeniami cybernetycznymi w firmie Critical Start, twierdzi, że organizacje korzystające z Jenkinsa dobrze zrobią, jeśli nie będą ignorować tej luki. „Zagrożenia obejmują kradzież danych, naruszenie bezpieczeństwa systemu, zakłócenia w potokach i możliwość pojawienia się zainfekowanych wersji oprogramowania” – mówi Jones.
Jednym z powodów obaw jest fakt, że narzędzia DevOps, takie jak Jenkins, często mogą zawierać krytyczne i wrażliwe dane, które programiści mogą pobrać ze środowisk produkcyjnych podczas tworzenia lub rozwijania nowych aplikacji. Dobry przykład miał miejsce w zeszłym roku, kiedy badacz bezpieczeństwa znalazł dokument zawierający 1.5 miliona osób znajduje się na liście zakazu lotów TSA siedzi bez ochrony na serwerze Jenkins należącym do CommuteAir z siedzibą w Ohio.
„Natychmiastowe zainstalowanie łatki ma kluczowe znaczenie; aktualizacja Jenkins do wersji 2.442 lub nowszej (innej niż LTS) albo 2.427 lub nowszej (LTS) adresuje CVE-2024-23897” – mówi Jones. Jako ogólną praktykę zaleca, aby organizacje programistyczne wdrażały model najniższych uprawnień w celu ograniczania dostępu, a także skanowały podatności na ataki i stale monitorowały podejrzane działania. Jones dodaje: „Dodatkowo promowanie świadomości bezpieczeństwa wśród programistów i administratorów wzmacnia ogólny stan bezpieczeństwa”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- :ma
- :Jest
- :nie
- :Gdzie
- 000
- 12
- 24
- 29
- 7
- a
- Zdolny
- dostęp
- Stosownie
- zajęcia
- działalność
- do tego
- adres
- Adresy
- Dodaje
- Administratorzy
- doradczy
- afektowany
- przed
- dopuszczać
- Pozwalać
- pozwala
- prawie
- również
- wśród
- an
- analityk
- i
- Anonimowy
- aplikacje
- Stosowanie
- SĄ
- na około
- AS
- At
- Ataki
- próbując
- autoryzacja
- zautomatyzować
- dostępny
- świadomość
- BE
- stają się
- być
- należący
- przynieść
- budować
- Budowanie
- wbudowany
- by
- bypass
- CAN
- nie może
- walizka
- pewien
- charakter
- Wykrywanie urządzeń szpiegujących
- Chiny
- kod
- Komunikacja
- kompleksowość
- kompromis
- Zagrożone
- Troska
- Warunki
- skonfigurowany
- zawierać
- kontekst
- ciągły
- kontroler
- POŚWIADCZENIE
- krytyczny
- istotny
- kryptograficzny
- dane
- Odszyfruj
- głębiej
- Domyślnie
- zależny
- rozwijać
- Wdrożenie
- deweloperzy
- rozwijanie
- oprogramowania
- zespoły deweloperskie
- odkryj
- odkryty
- zakłócony
- do
- dokument
- robi
- robi
- pobieranie
- zrzucać
- podczas
- Wcześniej
- łatwo
- budujący
- włączony
- kodowanie
- szyfrowanie
- Enterprise
- oprogramowanie firmowe
- Cały
- Środowisko
- środowiska
- eskalacja
- Parzyste
- egzekucja
- Wykorzystać
- eksploatacja
- exploity
- stopień
- fakt
- Cecha
- Korzyści
- kilka
- filet
- Akta
- i terminów, a
- wada
- W razie zamówieenia projektu
- fałszerstwo
- znaleziono
- od
- funkcjonować
- Ogólne
- Have
- mający
- HTTPS
- if
- ignorować
- Natychmiastowy
- natychmiast
- wdrożenia
- in
- zawierać
- osób
- Infrastruktura
- przykład
- integracja
- Inteligencja
- zainteresowany
- Interfejs
- Internet
- IT
- Styczeń
- Java
- Jones
- jpg
- Klawisze
- Nazwisko
- Ostatni rok
- później
- prowadzić
- najmniej
- Dziedzictwo
- ograniczenie
- Linia
- linie
- usytuowany
- złośliwy
- zarządzanie
- wiele
- me
- może
- milion
- Moda
- model
- monitorowanie
- monitory
- większość
- wielokrotność
- prawie
- Nowości
- Niedochodowy
- Uwagi
- już dziś
- uzyskać
- miejsce
- of
- często
- on
- or
- organizacja
- organizacji
- Inne
- ogólny
- łatanie
- pozwolenie
- plato
- Analiza danych Platona
- PlatoDane
- PoC
- punkt
- możliwy
- potencjał
- praktyka
- teraźniejszość
- zapobiec
- wygląda tak
- Produkcja
- promowanie
- publicznie
- Stawia
- jakość
- Czytaj
- powód
- niedawno
- Zalecana
- zaleca
- w sprawie
- wydany
- prasowe
- pozostawać
- pamiętać
- zdalny
- powtarzalne
- Zgłoszone
- Raporty
- zażądać
- wymagać
- Badania naukowe
- badacz
- Badacze
- Zasób
- Ryzyko
- ryzyko
- korzeń
- s
- Powiedział
- mówią
- skanowanie
- scenariusz
- tajniki
- bezpieczne
- bezpieczeństwo
- Świadomość bezpieczeństwa
- wrażliwy
- serwer
- Serwery
- ona
- Powłoka
- powinien
- podpisywanie
- ponieważ
- Siedzący
- sytuacje
- So
- Tworzenie
- rozwoju oprogramowania
- kilka
- coś
- specyficzny
- początek
- Nadal
- przechowywanie
- przechowywany
- Wzmacnia
- strongly
- taki
- podejrzliwy
- system
- systemy
- zadania
- zespół
- Zespoły
- test
- Testowanie
- że
- Połączenia
- kradzież
- następnie
- Tam.
- Te
- one
- to
- Przez
- do
- narzędzia
- niezdolny
- dla
- zrozumienie
- Aktualizacja
- zaktualizowane
- uaktualnienie
- URL
- us
- posługiwać się
- używany
- Użytkownicy
- za pomocą
- różnorodny
- wersja
- Wersje
- początku.
- przez
- wrażliwość
- skanowanie podatności
- Wrażliwy
- ostrzeżony
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- KIM
- w
- bez
- pracujący
- by
- rok
- zefirnet
