Експлойти PoC підвищують ризики навколо важливої ​​нової Vuln Jenkins

Експлойти PoC підвищують ризики навколо важливої ​​нової Vuln Jenkins

Мітка часу: 29 січня 2024 р. 4:55
PoC Exploits Heighten Risks Around Critical New Jenkins Vuln PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Близько 45,000 XNUMX доступних в Інтернеті серверів Jenkins залишаються невиправленими проти критичної, нещодавно розкритої вразливості довільного читання файлів, для якої код підтвердження експлойту тепер є загальнодоступним.

CVE-2024-23897 впливає на вбудований інтерфейс командного рядка Jenkins (CLI) і може призвести до віддаленого виконання коду в уражених системах. Команда інфраструктури Jenkins розкрила вразливість і випустила оновлену версію програмного забезпечення 24 січня.

Експлойти підтвердження концепції

Відтоді, Експлойт підтвердження концепції (PoC). код для недоліку став доступним, і є деякі повідомлення про зловмисників активно намагаються використовувати це. 29 січня некомерційна організація ShadowServer, яка стежить за шкідливою діяльністю в Інтернеті, повідомили про спостереження близько 45,000 тис Доступні в Інтернеті екземпляри Jenkins, уразливі до CVE-2024-23897. Майже 12,000 XNUMX вразливих екземплярів знаходяться в США; За даними ShadowServer, у Китаї майже стільки ж уразливих систем.

Багато груп розробників корпоративного програмного забезпечення використовують Jenkins для створення, тестування та розгортання програм. Jenkins дозволяє організаціям автоматизувати повторювані завдання під час розробки програмного забезпечення — наприклад, тестування, перевірку якості коду, сканування безпеки та розгортання — у процесі розробки програмного забезпечення. Jenkins також часто використовується в середовищах безперервної інтеграції та безперервного розгортання.

Розробники використовують Jenkins CLI для доступу та керування Jenkins зі сценарію або середовища оболонки. CVE-2024-23897 присутній у функції синтаксичного аналізатора команд CLI, яка ввімкнена за замовчуванням у версіях Jenkins 2.441 і раніших і Jenkins LTS 2.426.2 і раніших.

«Це дозволяє зловмисникам читати довільні файли у файловій системі контролера Дженкінса, використовуючи стандартне кодування символів процесу контролера Дженкінса», — повідомила команда Дженкінса в Консультація 24 січ. Ця помилка дозволяє зловмиснику з дозволом на загальне/читання — те, що потрібно більшості користувачів Jenkins — читати цілі файли. За словами команди Дженкінса, зловмисник без такого дозволу все одно зможе прочитати кілька перших рядків файлів.

Кілька векторів для RCE

Уразливість також ставить під загрозу двійкові файли, що містять криптографічні ключі, які використовуються для різних функцій Jenkins, таких як зберігання облікових даних, підписання артефактів, шифрування та дешифрування та безпечний зв’язок. У ситуаціях, коли зловмисник може використати вразливість для отримання криптографічних ключів із бінарних файлів, можливі численні атаки, попереджає Дженкінс. До них належать атаки на віддалене виконання коду (RCE), коли ввімкнено функцію кореневої URL-адреси ресурсу; RCE через файл cookie «Запам’ятати мене»; RCE через міжсайтові скриптові атаки; і віддалені кодові атаки, які обходять захист від підробки міжсайтових запитів, йдеться в повідомленні.

Коли зловмисники можуть отримати доступ до криптографічних ключів у двійкових файлах через CVE-2024-23897, вони також можуть розшифрувати секрети, що зберігаються в Jenkins, видалити дані або завантажити дамп купи Java, повідомила команда Jenkins.

Дослідники з SonarSource виявили вразливість і повідомили про це команді Дженкінса описав вразливість що дозволяє навіть неавтентифікованим користувачам мати принаймні дозвіл на читання Jenkins за певних умов. Це може включати ввімкнення авторизації в застарілому режимі, або якщо сервер налаштовано на дозвіл анонімного доступу для читання, або коли ввімкнено функцію реєстрації.

Янів Нізрий, дослідник безпеки в Sonar, який виявив уразливість, підтверджує, що інші дослідники змогли відтворити недолік і мати робочий PoC.

«Оскільки можна використати вразливість без автентифікації, певною мірою виявити вразливі системи дуже легко», — зазначає Нізрі. «Що стосується експлуатації, якщо зловмисник зацікавлений у тому, щоб підняти довільне читання файлу до виконання коду, йому знадобиться глибше розуміння Дженкінса та конкретного екземпляра. Складність ескалації залежить від контексту».

Нові версії Jenkins 2.442 і LTS версії 2.426.3 усувають уразливість. Організації, які не можуть негайно оновити, повинні вимкнути доступ до CLI, щоб запобігти експлуатації, йдеться в повідомленні. «Це наполегливо рекомендується адміністраторам, які не можуть негайно оновити Jenkins 2.442, LTS 2.426.3. Застосування цього обхідного шляху не вимагає перезавантаження Jenkins».

Патч зараз

Сара Джонс, аналітик аналізу кіберзагроз у Critical Start, каже, що організаціям, які використовують Jenkins, було б добре не ігнорувати цю вразливість. «Ризики включають крадіжку даних, компрометацію системи, збій конвеєрів і можливість скомпрометованих випусків програмного забезпечення», — говорить Джонс.

Однією з причин занепокоєння є той факт, що інструменти DevOps, такі як Jenkins, часто можуть містити критичні та конфіденційні дані, які розробники можуть отримати з робочих середовищ під час створення або розробки нових програм. Відповідний випадок стався минулого року, коли дослідник безпеки знайшов документ, що містить 1.5 мільйона осіб у списку заборонених для польотів TSA сидить незахищеним на сервері Jenkins, що належить CommuteAir зі штату Огайо.

«Негайне виправлення має вирішальне значення; оновлення до версії Jenkins 2.442 або пізнішої (не LTS) або 2.427 або пізнішої (LTS) адресує CVE-2024-23897», — говорить Джонс. Як правило, вона рекомендує організаціям-розробникам запроваджувати модель найменших привілеїв для обмеження доступу, а також проводити сканування вразливостей і постійний моніторинг підозрілих дій. Джонс додає: «Крім того, підвищення обізнаності про безпеку серед розробників і адміністраторів зміцнює загальну безпеку».

Часова мітка:

Більше від Темне читання