Близько 45,000 XNUMX доступних в Інтернеті серверів Jenkins залишаються невиправленими проти критичної, нещодавно розкритої вразливості довільного читання файлів, для якої код підтвердження експлойту тепер є загальнодоступним.
CVE-2024-23897 впливає на вбудований інтерфейс командного рядка Jenkins (CLI) і може призвести до віддаленого виконання коду в уражених системах. Команда інфраструктури Jenkins розкрила вразливість і випустила оновлену версію програмного забезпечення 24 січня.
Експлойти підтвердження концепції
Відтоді, Експлойт підтвердження концепції (PoC). код для недоліку став доступним, і є деякі повідомлення про зловмисників активно намагаються використовувати це. 29 січня некомерційна організація ShadowServer, яка стежить за шкідливою діяльністю в Інтернеті, повідомили про спостереження близько 45,000 тис Доступні в Інтернеті екземпляри Jenkins, уразливі до CVE-2024-23897. Майже 12,000 XNUMX вразливих екземплярів знаходяться в США; За даними ShadowServer, у Китаї майже стільки ж уразливих систем.
Багато груп розробників корпоративного програмного забезпечення використовують Jenkins для створення, тестування та розгортання програм. Jenkins дозволяє організаціям автоматизувати повторювані завдання під час розробки програмного забезпечення — наприклад, тестування, перевірку якості коду, сканування безпеки та розгортання — у процесі розробки програмного забезпечення. Jenkins також часто використовується в середовищах безперервної інтеграції та безперервного розгортання.
Розробники використовують Jenkins CLI для доступу та керування Jenkins зі сценарію або середовища оболонки. CVE-2024-23897 присутній у функції синтаксичного аналізатора команд CLI, яка ввімкнена за замовчуванням у версіях Jenkins 2.441 і раніших і Jenkins LTS 2.426.2 і раніших.
«Це дозволяє зловмисникам читати довільні файли у файловій системі контролера Дженкінса, використовуючи стандартне кодування символів процесу контролера Дженкінса», — повідомила команда Дженкінса в Консультація 24 січ. Ця помилка дозволяє зловмиснику з дозволом на загальне/читання — те, що потрібно більшості користувачів Jenkins — читати цілі файли. За словами команди Дженкінса, зловмисник без такого дозволу все одно зможе прочитати кілька перших рядків файлів.
Кілька векторів для RCE
Уразливість також ставить під загрозу двійкові файли, що містять криптографічні ключі, які використовуються для різних функцій Jenkins, таких як зберігання облікових даних, підписання артефактів, шифрування та дешифрування та безпечний зв’язок. У ситуаціях, коли зловмисник може використати вразливість для отримання криптографічних ключів із бінарних файлів, можливі численні атаки, попереджає Дженкінс. До них належать атаки на віддалене виконання коду (RCE), коли ввімкнено функцію кореневої URL-адреси ресурсу; RCE через файл cookie «Запам’ятати мене»; RCE через міжсайтові скриптові атаки; і віддалені кодові атаки, які обходять захист від підробки міжсайтових запитів, йдеться в повідомленні.
Коли зловмисники можуть отримати доступ до криптографічних ключів у двійкових файлах через CVE-2024-23897, вони також можуть розшифрувати секрети, що зберігаються в Jenkins, видалити дані або завантажити дамп купи Java, повідомила команда Jenkins.
Дослідники з SonarSource виявили вразливість і повідомили про це команді Дженкінса описав вразливість що дозволяє навіть неавтентифікованим користувачам мати принаймні дозвіл на читання Jenkins за певних умов. Це може включати ввімкнення авторизації в застарілому режимі, або якщо сервер налаштовано на дозвіл анонімного доступу для читання, або коли ввімкнено функцію реєстрації.
Янів Нізрий, дослідник безпеки в Sonar, який виявив уразливість, підтверджує, що інші дослідники змогли відтворити недолік і мати робочий PoC.
«Оскільки можна використати вразливість без автентифікації, певною мірою виявити вразливі системи дуже легко», — зазначає Нізрі. «Що стосується експлуатації, якщо зловмисник зацікавлений у тому, щоб підняти довільне читання файлу до виконання коду, йому знадобиться глибше розуміння Дженкінса та конкретного екземпляра. Складність ескалації залежить від контексту».
Нові версії Jenkins 2.442 і LTS версії 2.426.3 усувають уразливість. Організації, які не можуть негайно оновити, повинні вимкнути доступ до CLI, щоб запобігти експлуатації, йдеться в повідомленні. «Це наполегливо рекомендується адміністраторам, які не можуть негайно оновити Jenkins 2.442, LTS 2.426.3. Застосування цього обхідного шляху не вимагає перезавантаження Jenkins».
Патч зараз
Сара Джонс, аналітик аналізу кіберзагроз у Critical Start, каже, що організаціям, які використовують Jenkins, було б добре не ігнорувати цю вразливість. «Ризики включають крадіжку даних, компрометацію системи, збій конвеєрів і можливість скомпрометованих випусків програмного забезпечення», — говорить Джонс.
Однією з причин занепокоєння є той факт, що інструменти DevOps, такі як Jenkins, часто можуть містити критичні та конфіденційні дані, які розробники можуть отримати з робочих середовищ під час створення або розробки нових програм. Відповідний випадок стався минулого року, коли дослідник безпеки знайшов документ, що містить 1.5 мільйона осіб у списку заборонених для польотів TSA сидить незахищеним на сервері Jenkins, що належить CommuteAir зі штату Огайо.
«Негайне виправлення має вирішальне значення; оновлення до версії Jenkins 2.442 або пізнішої (не LTS) або 2.427 або пізнішої (LTS) адресує CVE-2024-23897», — говорить Джонс. Як правило, вона рекомендує організаціям-розробникам запроваджувати модель найменших привілеїв для обмеження доступу, а також проводити сканування вразливостей і постійний моніторинг підозрілих дій. Джонс додає: «Крім того, підвищення обізнаності про безпеку серед розробників і адміністраторів зміцнює загальну безпеку».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
- : має
- :є
- : ні
- :де
- 000
- 12
- 24
- 29
- 7
- a
- Здатний
- доступ
- За
- діяльності
- діяльність
- Додатково
- адреса
- адреси
- Додає
- Адміністратори
- консультативний
- постраждалих
- проти
- дозволяти
- Дозволити
- дозволяє
- майже
- Також
- серед
- an
- аналітик
- та
- анонімний
- застосування
- Застосування
- ЕСТЬ
- навколо
- AS
- At
- нападки
- спроба
- авторизації
- автоматизувати
- доступний
- обізнаність
- BE
- ставати
- було
- належність
- приносити
- будувати
- Створюємо
- вбудований
- by
- обходити
- CAN
- не може
- випадок
- певний
- характер
- Перевірки
- Китай
- код
- зв'язку
- складність
- компроміс
- Компрометація
- Занепокоєння
- Умови
- налаштувати
- містити
- контекст
- безперервний
- контролер
- ІНТЕРЕНЦІЙНИЙ
- критичний
- вирішальне значення
- криптографічні
- дані
- Розшифрувати
- глибше
- дефолт
- залежний
- розгортання
- розгортання
- розробників
- розвивається
- розробка
- команди розробників
- відкрити
- відкритий
- порушено
- do
- документ
- робить
- справи
- скачати
- дамп
- під час
- Раніше
- легко
- піднесення
- включений
- кодування
- шифрування
- підприємство
- програмне забезпечення підприємства
- Весь
- Навколишнє середовище
- середовищах
- ескалація
- Навіть
- виконання
- Експлуатувати
- експлуатація
- подвигів
- ступінь
- факт
- особливість
- риси
- кілька
- філе
- Файли
- Перший
- недолік
- для
- підробка
- знайдений
- від
- функція
- Загальне
- Мати
- має
- HTTPS
- if
- ігнорувати
- Негайний
- негайно
- здійснювати
- in
- включати
- осіб
- Інфраструктура
- екземпляр
- інтеграція
- Інтелект
- зацікавлений
- інтерфейс
- інтернет
- IT
- січень
- Java
- Джонс
- JPG
- ключі
- останній
- Минулого року
- пізніше
- вести
- найменш
- Legacy
- обмежуючий
- Лінія
- ліній
- розташований
- malicious
- управляти
- багато
- me
- може бути
- мільйона
- режим
- модель
- моніторинг
- монітори
- найбільш
- множинний
- майже
- Нові
- Некомерційний
- примітки
- зараз
- отримувати
- сталося
- of
- часто
- on
- or
- організація
- організації
- Інше
- загальний
- Виправлення
- дозвіл
- plato
- Інформація про дані Платона
- PlatoData
- PoC
- точка
- це можливо
- потенціал
- практика
- представити
- запобігати
- процес
- Production
- сприяння
- публічно
- Ставить
- якість
- Читати
- причина
- нещодавно
- рекомендований
- рекомендує
- про
- випущений
- Релізи
- залишатися
- запам'ятати
- віддалений
- повторювані
- Повідомляється
- Звіти
- запросити
- вимагати
- дослідження
- дослідник
- Дослідники
- ресурс
- Risk
- ризики
- корінь
- s
- Зазначений
- говорить
- сканування
- сценарій
- секрети
- безпечний
- безпеку
- Питання охорони судна
- чутливий
- сервер
- Сервери
- вона
- Склад
- Повинен
- підписання
- з
- Сидячий
- ситуацій
- So
- Софтвер
- розробка програмного забезпечення
- деякі
- що в сім'ї щось
- конкретний
- старт
- Як і раніше
- зберігання
- зберігати
- Зміцнює
- сильно
- такі
- підозрілі
- система
- Systems
- завдання
- команда
- команди
- тест
- Тестування
- Що
- Команда
- крадіжка
- потім
- Там.
- Ці
- вони
- це
- через
- до
- інструменти
- не в змозі
- при
- розуміння
- Оновити
- оновлений
- модернізація
- URL
- us
- використання
- використовуваний
- користувачі
- використання
- різний
- версія
- версії
- дуже
- через
- вразливість
- сканування уразливостей
- Вразливий
- попередили
- ДОБРЕ
- коли
- який
- ВООЗ
- з
- без
- робочий
- б
- рік
- зефірнет