PoC utnyttjar öka riskerna kring kritiska nya Jenkins Vuln

PoC utnyttjar öka riskerna kring kritiska nya Jenkins Vuln

Tidsstämpel: 29 januari 2024 4:55
PoC utnyttjar öka riskerna kring kritiska nya Jenkins Vuln PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Cirka 45,000 XNUMX internetexponerade Jenkins-servrar förblir oparpade mot en kritisk, nyligen avslöjad godtycklig filläsningssårbarhet för vilken proof-of-exploit-kod nu är allmänt tillgänglig.

CVE-2024-23897 påverkar det inbyggda Jenkins kommandoradsgränssnitt (CLI) och kan leda till fjärrkörning av kod på berörda system. Jenkins infrastrukturteam avslöjade sårbarheten och släppte uppdaterad version av programvara den 24 januari.

Proof-of-Concept Exploater

Sedan dess, proof-of-concept (PoC) exploatering kod har blivit tillgänglig för felet och det finns några rapporter om angripare aktivt försöker utnyttja Det. Den 29 januari, den ideella ShadowServer-organisationen, som övervakar Internet för skadlig aktivitet, rapporterade observera omkring 45,000 XNUMX Internetexponerade instanser av Jenkins som är sårbara för CVE-2024-23897. Nästan 12,000 XNUMX av de sårbara instanserna finns i USA; Kina har nästan lika många sårbara system, enligt ShadowServer-data.

Många företagsutvecklingsteam använder Jenkins för att bygga, testa och distribuera applikationer. Jenkins tillåter organisationer att automatisera repetitiva uppgifter under programvaruutveckling - såsom testning, kodkvalitetskontroller, säkerhetsskanning och distribution - under programvaruutvecklingsprocessen. Jenkins används också ofta i miljöer med kontinuerlig integration och kontinuerlig driftsättning.

Utvecklare använder Jenkins CLI för att komma åt och hantera Jenkins från ett skript eller en skalmiljö. CVE-2024-23897 finns i en CLI-kommandoanalysfunktion som är aktiverad som standard på Jenkins version 2.441 och tidigare och Jenkins LTS 2.426.2 och tidigare.

"Detta tillåter angripare att läsa godtyckliga filer på Jenkins-kontrollerns filsystem med hjälp av standardteckenkodningen i Jenkins-kontrollerprocessen", sa Jenkins-teamet i 24 januari rådgivande. Felet tillåter en angripare med övergripande/läs-behörighet – något som de flesta Jenkins-användare skulle kräva – att läsa hela filer. En angripare utan den tillståndet skulle fortfarande kunna läsa de första raderna med filer, sa Jenkins-teamet i rådgivningen.

Flera vektorer för RCE

Sårbarheten utsätter också binära filer som innehåller kryptografiska nycklar som används för olika Jenkins-funktioner, såsom lagring av autentiseringsuppgifter, artefaktsignering, kryptering och dekryptering och säker kommunikation, i riskzonen. I situationer där en angripare kan utnyttja sårbarheten för att få kryptografiska nycklar från binära filer, är flera attacker möjliga, varnade Jenkins råd. Dessa inkluderar RCE-attacker (Remote Code Execution) när funktionen Resource Root URL är aktiverad; RCE via "Kom ihåg mig"-cookien; RCE genom cross-site scripting attacker; och fjärrkodattacker som kringgår skydd mot förfalskning av begäranden på flera ställen, sade rådgivaren.

När angripare kan komma åt kryptografiska nycklar i binära filer via CVE-2024-23897 kan de också dekryptera hemligheter lagrade i Jenkins, radera data eller ladda ner en Java-högdump, sa Jenkins-teamet.

Forskare från SonarSource som upptäckte sårbarheten och rapporterade den till Jenkins-teamet beskrev sårbarheten som att tillåta även oautentiserade användare att ha åtminstone läsbehörighet på Jenkins under vissa villkor. Detta kan inkludera att auktorisering av äldre läge är aktiverat, eller om servern är konfigurerad för att tillåta anonym läsåtkomst, eller när registreringsfunktionen är aktiverad.

Yaniv Nizry, säkerhetsforskaren på Sonar som upptäckte sårbarheten, bekräftar att andra forskare har kunnat reproducera felet och har en fungerande PoC.

"Eftersom det är möjligt att utnyttja sårbarheten oautentiserad, är det i viss utsträckning mycket lätt att upptäcka sårbara system," noterar Nizry. "När det gäller exploatering, om en angripare är intresserad av att höja den godtyckliga filen som läses till kodexekvering, skulle det kräva lite djupare förståelse för Jenkins och den specifika instansen. Upptrappningens komplexitet beror på sammanhanget.”

De nya Jenkins versionerna 2.442 och LTS version 2.426.3 åtgärdar sårbarheten. Organisationer som inte omedelbart kan uppgradera bör inaktivera CLI-åtkomst för att förhindra exploatering, sade rådgivaren. "Det rekommenderas starkt för administratörer som inte omedelbart kan uppdatera till Jenkins 2.442, LTS 2.426.3. Att tillämpa den här lösningen kräver ingen omstart av Jenkins."

Patcha nu

Sarah Jones, cyber-hot intelligens forskningsanalytiker på Critical Start, säger att organisationer som använder Jenkins skulle göra klokt i att inte ignorera sårbarheten. "Riskerna inkluderar datastöld, systemkompromisser, störda pipelines och potentialen för äventyrade programutgåvor", säger Jones.

En anledning till oron är det faktum att DevOps-verktyg som Jenkins ofta kan innehålla kritisk och känslig data som utvecklare kan ta in från produktionsmiljöer när de bygger eller utvecklar nya applikationer. Ett exempel inträffade förra året när en säkerhetsforskare hittade ett dokument som innehöll 1.5 miljoner individer på TSA:s flygförbudslista sitter oskyddad på en Jenkins-server, tillhörande Ohio-baserade CommuteAir.

“Omedelbar lappning är avgörande; uppgradering till Jenkins version 2.442 eller senare (icke-LTS) eller 2.427 eller senare (LTS) adresser CVE-2024-23897”, säger Jones. Som en allmän praxis rekommenderar hon att utvecklingsorganisationer implementerar en minst-privilegiemodell för att begränsa åtkomst, och även gör sårbarhetsskanning och kontinuerlig övervakning av misstänkta aktiviteter. Jones tillägger: "Dessutom, främjande av säkerhetsmedvetenhet bland utvecklare och administratörer stärker den övergripande säkerhetsställningen."

Tidsstämpel:

Mer från Mörk läsning