Izkoriščanja PoC povečujejo tveganja okoli kritične nove Jenkins Vuln

Izkoriščanja PoC povečujejo tveganja okoli kritične nove Jenkins Vuln

Časovni žig: 29. januar 2024 4:55
PoC Exploits Heighten Risks Around Critical New Jenkins Vuln PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Približno 45,000 strežnikov Jenkins, ki so izpostavljeni internetu, ostaja nepopravljenih pred kritično, nedavno razkrito ranljivostjo samovoljnega branja datotek, za katero je koda za dokaz izkoriščanja zdaj javno dostopna.

CVE-2024-23897 vpliva na vgrajeni Jenkinsov vmesnik ukazne vrstice (CLI) in lahko povzroči oddaljeno izvajanje kode v prizadetih sistemih. Ekipa Jenkinsove infrastrukture je 24. januarja razkrila ranljivost in izdala posodobljeno različico programske opreme.

Izkoriščanja dokaza koncepta

Od takrat, proof-of-concept (PoC) izkoriščanje koda je postala na voljo za napako in nekaj poročil je o napadalcih aktivno poskuša izkoriščati to. 29. januarja je neprofitna organizacija ShadowServer, ki nadzoruje internet za zlonamerno dejavnost, poročali o opazovanju okoli 45,000 Internetu izpostavljeni primerki Jenkins, ki so ranljivi za CVE-2024-23897. Skoraj 12,000 ranljivih primerkov se nahaja v ZDA; Kitajska ima po podatkih ShadowServer skoraj toliko ranljivih sistemov.

Številne skupine za razvoj programske opreme za podjetja uporabljajo Jenkins za gradnjo, testiranje in uvajanje aplikacij. Jenkins organizacijam omogoča avtomatizacijo ponavljajočih se nalog med razvojem programske opreme – kot so testiranje, preverjanje kakovosti kode, varnostno skeniranje in uvajanje – med procesom razvoja programske opreme. Jenkins se pogosto uporablja tudi v okoljih neprekinjene integracije in neprekinjenega uvajanja.

Razvijalci uporabljajo Jenkins CLI za dostop in upravljanje Jenkinsa iz skripta ali lupinskega okolja. CVE-2024-23897 je prisoten v funkciji razčlenjevalnika ukazov CLI, ki je privzeto omogočena v različicah Jenkins 2.441 in starejših ter Jenkins LTS 2.426.2 in starejših.

"To napadalcem omogoča branje poljubnih datotek v datotečnem sistemu krmilnika Jenkins z uporabo privzetega kodiranja znakov procesa krmilnika Jenkins," je povedala ekipa Jenkins v Svetovanje 24. jan. Napaka omogoča napadalcu z dovoljenjem za splošno/branje - nekaj, kar bi zahtevala večina uporabnikov Jenkinsa - branje celotnih datotek. Napadalec brez tega dovoljenja bi še vedno lahko prebral prvih nekaj vrstic datotek, je ekipa Jenkins zapisala v svetovanju.

Več vektorjev za RCE

Ranljivost ogroža tudi binarne datoteke, ki vsebujejo kriptografske ključe, ki se uporabljajo za različne Jenkinsove funkcije, kot so shranjevanje poverilnic, podpisovanje artefaktov, šifriranje in dešifriranje ter varne komunikacije. V primerih, ko lahko napadalec izkoristi ranljivost za pridobitev kriptografskih ključev iz binarnih datotek, je možnih več napadov, opozarja Jenkinsovo svetovanje. Ti vključujejo napade z oddaljenim izvajanjem kode (RCE), ko je omogočena funkcija URL korena virov; RCE prek piškotka »Zapomni si me«; RCE prek skriptnih napadov med spletnimi mesti; in napadi na oddaljeno kodo, ki obidejo zaščito pred ponarejanjem zahtev med spletnimi mesti, je zapisano v svetovanju.

Ko lahko napadalci prek CVE-2024-23897 dostopajo do kriptografskih ključev v binarnih datotekah, lahko tudi dešifrirajo skrivnosti, shranjene v Jenkinsu, izbrišejo podatke ali prenesejo izpis kopice Java, je povedala ekipa Jenkins.

Raziskovalci iz SonarSource, ki so odkrili ranljivost in jo prijavili ekipi Jenkins opisal ranljivost saj omogoča celo nepreverjenim uporabnikom, da imajo pod določenimi pogoji vsaj dovoljenje za branje na Jenkinsu. To lahko vključuje omogočeno avtorizacijo starejšega načina ali če je strežnik konfiguriran tako, da omogoča anonimen dostop za branje ali ko je omogočena funkcija prijave.

Yaniv Nizry, varnostni raziskovalec pri Sonarju, ki je odkril ranljivost, potrjuje, da je drugim raziskovalcem uspelo reproducirati napako in imeti delujoč PoC.

»Ker je ranljivost mogoče do določene mere izkoristiti neoverjeno, je zelo enostavno odkriti ranljive sisteme,« ugotavlja Nizry. »Kar zadeva izkoriščanje, če napadalec želi povzdigniti branje poljubne datoteke v izvajanje kode, bi bilo potrebno nekaj globljega razumevanja Jenkinsa in specifičnega primera. Kompleksnost stopnjevanja je odvisna od konteksta.«

Novi Jenkins različici 2.442 in LTS različici 2.426.3 obravnavata ranljivost. Organizacije, ki ne morejo takoj nadgraditi, bi morale onemogočiti dostop CLI, da preprečijo izkoriščanje, je zapisano v svetovanju. »To močno priporočamo skrbnikom, ki ne morejo takoj posodobiti na Jenkins 2.442, LTS 2.426.3. Uporaba te rešitve ne zahteva ponovnega zagona Jenkinsa.«

Popravi zdaj

Sarah Jones, raziskovalna analitičarka obveščanja o kibernetskih grožnjah pri Critical Start, pravi, da bi bilo dobro, če organizacije, ki uporabljajo Jenkins, ne bi zanemarile ranljivosti. "Tveganja vključujejo krajo podatkov, ogrožanje sistema, prekinjene cevovode in možnost za ogrožene izdaje programske opreme," pravi Jones.

Eden od razlogov za zaskrbljenost je dejstvo, da lahko orodja DevOps, kot je Jenkins, pogosto vsebujejo kritične in občutljive podatke, ki bi jih razvijalci lahko prinesli iz produkcijskih okolij, ko gradijo ali razvijajo nove aplikacije. Primer se je zgodil lani, ko je varnostni raziskovalec našel dokument, ki vsebuje 1.5 milijona posameznikov na seznamu prepovedi letenja TSA nezaščiten sedi na strežniku Jenkins, ki pripada CommuteAir s sedežem v Ohiu.

»Takojšnje krpanje je ključnega pomena; nadgradnja na različico Jenkins 2.442 ali novejšo (brez LTS) ali 2.427 ali novejšo (LTS) naslovi CVE-2024-23897,« pravi Jones. Kot splošno prakso priporoča, da razvojne organizacije izvajajo model najmanj privilegijev za omejevanje dostopa ter izvajajo skeniranje ranljivosti in stalno spremljanje sumljivih dejavnosti. Jones dodaja: "Poleg tega spodbujanje ozaveščenosti o varnosti med razvijalci in skrbniki krepi splošno varnostno držo."

Časovni žig:

Več od Temno branje