Aproximativ 45,000 de servere Jenkins expuse la Internet rămân nepattchizate față de o vulnerabilitate critică, recent dezvăluită, de citire arbitrară a fișierelor, pentru care codul de dovadă a exploatării este acum disponibil public.
CVE-2024-23897 afectează interfața de linie de comandă (CLI) Jenkins încorporată și poate duce la execuția de cod de la distanță pe sistemele afectate. Echipa de infrastructură Jenkins a dezvăluit vulnerabilitatea și a lansat versiunea software actualizată, pe 24 ianuarie.
Exploatările doveditoare de concept
De atunci, exploatare proof-of-concept (PoC). codul a devenit disponibil pentru defect și există unele rapoarte de atacatori încercând activ să exploateze aceasta. Pe 29 ianuarie, organizația nonprofit ShadowServer, care monitorizează Internetul pentru activități rău intenționate, au raportat că au observat în jur de 45,000 Exemple de Jenkins expuse pe internet care sunt vulnerabile la CVE-2024-23897. Aproape 12,000 dintre cazurile vulnerabile sunt localizate în SUA; China are aproape la fel de multe sisteme vulnerabile, conform datelor ShadowServer.
Multe echipe de dezvoltare software pentru întreprinderi folosesc Jenkins pentru a construi, testa și implementa aplicații. Jenkins permite organizațiilor să automatizeze sarcini repetitive în timpul dezvoltării software - cum ar fi testarea, verificările calității codului, scanarea securității și implementarea - în timpul procesului de dezvoltare a software-ului. Jenkins este adesea folosit în medii de integrare continuă și implementare continuă.
Dezvoltatorii folosesc Jenkins CLI pentru a accesa și gestiona Jenkins dintr-un script sau un mediu shell. CVE-2024-23897 este prezent într-o caracteristică de analiză a comenzilor CLI care este activată în mod implicit pe versiunile Jenkins 2.441 și anterioare și Jenkins LTS 2.426.2 și versiunile anterioare.
„Acest lucru le permite atacatorilor să citească fișiere arbitrare pe sistemul de fișiere al controlerului Jenkins folosind codarea implicită a caracterelor din procesul controlerului Jenkins”, a spus echipa Jenkins în aviz din 24 ianuarie. Defectul permite unui atacator cu permisiunea generală/de citire – ceva de care ar avea nevoie majoritatea utilizatorilor Jenkins – să citească fișiere întregi. Un atacator fără această permisiune ar putea în continuare să citească primele câteva rânduri de fișiere, a spus echipa Jenkins în aviz.
Vectori multipli pentru RCE
Vulnerabilitatea pune, de asemenea, în pericol fișierele binare care conțin chei criptografice utilizate pentru diferite caracteristici Jenkins, cum ar fi stocarea acreditărilor, semnarea artefactelor, criptarea și decriptarea și comunicațiile securizate. În situațiile în care un atacator ar putea exploata vulnerabilitatea pentru a obține chei criptografice din fișiere binare, sunt posibile atacuri multiple, a avertizat Jenkins. Acestea includ atacuri de execuție de cod la distanță (RCE) atunci când funcția URL rădăcină a resursei este activată; RCE prin cookie-ul „Ține-mă minte”; RCE prin atacuri cross-site scripting; și atacuri cu coduri de la distanță care ocolesc protecțiile de falsificare a cererilor între site-uri, se arată în avizul.
Atunci când atacatorii pot accesa chei criptografice în fișiere binare prin CVE-2024-23897, ei pot, de asemenea, să decripteze secretele stocate în Jenkins, să ștergă date sau să descarce un dump Java heap, a spus echipa Jenkins.
Cercetătorii de la SonarSource care au descoperit vulnerabilitatea și au raportat-o echipei Jenkins a descris vulnerabilitatea ca permițând chiar și utilizatorilor neautentificați să aibă cel puțin permisiunea de citire pe Jenkins în anumite condiții. Aceasta poate include activarea autorizării modului moștenit sau dacă serverul este configurat pentru a permite accesul anonim de citire sau când funcția de înregistrare este activată.
Yaniv Nizry, cercetătorul de securitate de la Sonar care a descoperit vulnerabilitatea, confirmă că alți cercetători au reușit să reproducă defectul și să aibă un PoC funcțional.
„Deoarece este posibil să exploatezi vulnerabilitatea neautentificată, într-o anumită măsură, este foarte ușor să descoperi sisteme vulnerabile”, notează Nizry. „În ceea ce privește exploatarea, dacă un atacator este interesat să ridice fișierul arbitrar citit la execuția codului, ar necesita o înțelegere mai profundă a Jenkins și a instanței specifice. Complexitatea escaladării depinde de context.”
Noile versiuni Jenkins 2.442 și LTS versiunea 2.426.3 abordează vulnerabilitatea. Organizațiile care nu pot face upgrade imediat ar trebui să dezactiveze accesul CLI pentru a preveni exploatarea, se arată în avizul. „Este recomandat administratorilor care nu se pot actualiza imediat la Jenkins 2.442, LTS 2.426.3. Aplicarea acestei soluții nu necesită o repornire Jenkins.”
Corectează acum
Sarah Jones, analist în cercetarea informațiilor privind amenințările cibernetice la Critical Start, spune că organizațiile care folosesc Jenkins ar face bine să nu ignore vulnerabilitatea. „Riscurile includ furtul de date, compromisul sistemului, conductele întrerupte și potențialul de lansări de software compromise”, spune Jones.
Un motiv pentru îngrijorare este faptul că instrumentele DevOps, cum ar fi Jenkins, pot conține adesea date critice și sensibile pe care dezvoltatorii le-ar putea aduce din mediile de producție atunci când construiesc sau dezvoltă noi aplicații. Un exemplu concret a avut loc anul trecut, când un cercetător de securitate a găsit un document care conținea 1.5 milioane de persoane pe lista de interdicție a zborului a TSA stând neprotejat pe un server Jenkins, aparținând CommuteAir din Ohio.
„Corectarea imediată este crucială; upgrade la versiunea Jenkins 2.442 sau mai recentă (non-LTS) sau 2.427 sau mai recentă (LTS) adresează CVE-2024-23897”, spune Jones. Ca practică generală, ea recomandă organizațiilor de dezvoltare să implementeze un model cu cel mai mic privilegiu pentru limitarea accesului și, de asemenea, să facă scanarea vulnerabilităților și monitorizarea continuă pentru activități suspecte. Jones adaugă: „În plus, promovarea conștientizării securității în rândul dezvoltatorilor și administratorilor întărește postura generală de securitate.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- :are
- :este
- :nu
- :Unde
- 000
- 12
- 24
- 29
- 7
- a
- Capabil
- acces
- Conform
- activităţi de
- activitate
- În plus,
- adresa
- adrese
- Adaugă
- administratori
- consultativ
- afectat
- împotriva
- permite
- Permiterea
- permite
- aproape
- de asemenea
- printre
- an
- analist
- și
- Anonim
- aplicatii
- Aplicarea
- SUNT
- în jurul
- AS
- At
- Atacuri
- încercarea
- autorizare
- automatizarea
- disponibil
- gradului de conştientizare
- BE
- deveni
- fost
- apartenenta
- aduce
- construi
- Clădire
- construit-in
- by
- by-pass
- CAN
- nu poti
- caz
- sigur
- caracter
- Verificări
- China
- cod
- Comunicații
- complexitate
- compromis
- compromis
- Îngrijorare
- Condiții
- configurat
- conţine
- context
- continuu
- controlor
- CREDENTIALĂ
- critic
- crucial
- criptografic
- de date
- decriptaţi
- Mai adânc
- Mod implicit
- Dependent/ă
- implementa
- desfășurarea
- Dezvoltatorii
- în curs de dezvoltare
- Dezvoltare
- echipe de dezvoltare
- descoperi
- a descoperit
- perturbat
- do
- document
- face
- face
- Descarca
- descărca
- în timpul
- Mai devreme
- uşor
- înălțător
- activat
- codare
- criptare
- Afacere
- software pentru întreprinderi
- Întreg
- Mediu inconjurator
- medii
- Escaladarea
- Chiar
- execuție
- Exploata
- exploatare
- exploit
- măsură
- fapt
- Caracteristică
- DESCRIERE
- puțini
- Fișier
- Fişiere
- First
- defect
- Pentru
- fals
- găsit
- din
- funcţie
- General
- Avea
- având în
- HTTPS
- if
- ignora
- imediat
- imediat
- punerea în aplicare a
- in
- include
- persoane fizice
- Infrastructură
- instanță
- integrare
- Inteligență
- interesat
- interfaţă
- Internet
- IT
- Jan
- Java
- jones
- jpg
- chei
- Nume
- Anul trecut
- mai tarziu
- conduce
- cel mai puțin
- Moştenire
- limitativ
- Linie
- linii
- situat
- rău
- administra
- multe
- me
- ar putea
- milion
- mod
- model
- Monitorizarea
- monitoare
- cele mai multe
- multiplu
- aproape
- Nou
- non-profit
- notițe
- acum
- obține
- a avut loc
- of
- de multe ori
- on
- or
- organizație
- organizații
- Altele
- global
- patching
- permisiune
- Plato
- Informații despre date Platon
- PlatoData
- PoC
- Punct
- posibil
- potenţial
- practică
- prezenta
- împiedica
- proces
- producere
- Promovarea
- public
- puts
- calitate
- Citeste
- motiv
- recent
- recomandat
- recomandă
- cu privire la
- eliberat
- Lansări
- rămâne
- minte
- la distanta
- repetitiv
- Raportat
- Rapoarte
- solicita
- necesita
- cercetare
- cercetător
- cercetători
- resursă
- Risc
- Riscurile
- rădăcină
- s
- Said
- spune
- scanare
- scenariu
- secrete
- sigur
- securitate
- Conștientizarea securității
- sensibil
- serverul
- Servere
- ea
- Coajă
- să
- semnare
- întrucât
- Ședință
- situații
- So
- Software
- de dezvoltare de software
- unele
- ceva
- specific
- Începe
- Încă
- depozitare
- stocate
- intareste
- tare
- astfel de
- suspicios
- sistem
- sisteme
- sarcini
- echipă
- echipe
- test
- Testarea
- acea
- furt
- apoi
- Acolo.
- Acestea
- ei
- acest
- Prin
- la
- Unelte
- incapabil
- în
- înţelegere
- Actualizează
- actualizat
- upgrade-ul
- URL-ul
- us
- utilizare
- utilizat
- utilizatorii
- folosind
- diverse
- versiune
- Versiunile
- foarte
- de
- vulnerabilitate
- scanarea vulnerabilității
- vulnerabil
- a avertizat
- BINE
- cand
- care
- OMS
- cu
- fără
- de lucru
- ar
- an
- zephyrnet