لا يزال حوالي 45,000 خادم Jenkins مكشوفًا على الإنترنت غير مصحح ضد ثغرة أمنية حرجة تم الكشف عنها مؤخرًا لقراءة الملفات والتي أصبح كود إثبات الاستغلال متاحًا للعامة الآن.
CVE-2024-23897 يؤثر على واجهة سطر أوامر Jenkins (CLI) المضمنة ويمكن أن يؤدي إلى تنفيذ التعليمات البرمجية عن بعد على الأنظمة المتأثرة. كشف فريق البنية التحتية لـ Jenkins عن الثغرة الأمنية، وأصدر إصدارًا محدثًا من البرنامج، في 24 يناير.
مآثر إثبات المفهوم
ومنذ ذلك الحين، استغلال إثبات المفهوم (PoC). أصبح الكود متاحًا للخلل وهناك بعض التقارير عن مهاجمين تحاول بنشاط استغلال هو - هي. في 29 يناير، قامت منظمة ShadowServer غير الربحية، التي تراقب الإنترنت بحثًا عن أي نشاط ضار، ذكرت مراقبة حوالي 45,000 مثيلات Jenkins المعرضة للإنترنت والمعرضة لـ CVE-2024-23897. ويوجد ما يقرب من 12,000 من الحالات الضعيفة في الولايات المتحدة؛ وتمتلك الصين عددًا مماثلاً تقريبًا من الأنظمة المعرضة للخطر، وفقًا لبيانات ShadowServer.
تستخدم العديد من فرق تطوير برامج المؤسسات Jenkins لإنشاء التطبيقات واختبارها ونشرها. يسمح Jenkins للمؤسسات بأتمتة المهام المتكررة أثناء تطوير البرامج - مثل الاختبار وفحص جودة التعليمات البرمجية والفحص الأمني والنشر - أثناء عملية تطوير البرامج. غالبًا ما يتم استخدام Jenkins أيضًا في بيئات التكامل المستمر والنشر المستمر.
يستخدم المطورون Jenkins CLI للوصول إلى Jenkins وإدارته من برنامج نصي أو بيئة Shell. CVE-2024-23897 موجود في ميزة محلل أوامر CLI التي يتم تمكينها افتراضيًا في إصدارات Jenkins 2.441 والإصدارات الأقدم وJenkins LTS 2.426.2 والإصدارات الأقدم.
وقال فريق جينكينز في تقريره: "يسمح هذا للمهاجمين بقراءة الملفات التعسفية على نظام ملفات وحدة تحكم Jenkins باستخدام ترميز الأحرف الافتراضي لعملية وحدة تحكم Jenkins". 24 يناير استشاري. يسمح الخلل للمهاجم الذي لديه إذن القراءة الشاملة – وهو الأمر الذي يطلبه معظم مستخدمي Jenkins – بقراءة الملفات بأكملها. وقال فريق جينكينز في الاستشارة إن المهاجم دون هذا الإذن سيظل قادرًا على قراءة الأسطر القليلة الأولى من الملفات.
ناقلات متعددة لRCE
تعرض الثغرة الأمنية أيضًا للخطر الملفات الثنائية التي تحتوي على مفاتيح التشفير المستخدمة لمختلف ميزات Jenkins، مثل تخزين بيانات الاعتماد، والتوقيع الاصطناعي، والتشفير وفك التشفير، والاتصالات الآمنة. وحذر تقرير جينكينز الاستشاري من أنه في الحالات التي قد يستغل فيها المهاجم الثغرة الأمنية للحصول على مفاتيح التشفير من الملفات الثنائية، فمن الممكن حدوث هجمات متعددة. وتشمل هذه الهجمات تنفيذ التعليمات البرمجية عن بعد (RCE) عند تمكين وظيفة عنوان URL لجذر المورد؛ RCE عبر ملف تعريف الارتباط "تذكرني"؛ RCE من خلال هجمات البرمجة النصية عبر المواقع؛ وقال الاستشارة إن هجمات التعليمات البرمجية عن بعد التي تتجاوز حماية التزوير عبر المواقع.
وقال فريق جينكينز إنه عندما يتمكن المهاجمون من الوصول إلى مفاتيح التشفير في الملفات الثنائية عبر CVE-2024-23897، يمكنهم أيضًا فك تشفير الأسرار المخزنة في Jenkins، أو حذف البيانات، أو تنزيل تفريغ كومة Java.
اكتشف باحثون من SonarSource الثغرة الأمنية وأبلغوا فريق Jenkins بها وصف الضعف مثل السماح للمستخدمين غير المصادقين بالحصول على إذن القراءة على Jenkins على الأقل في ظل ظروف معينة. يمكن أن يشمل ذلك تمكين تخويل الوضع القديم، أو إذا تم تكوين الخادم للسماح بالوصول المجهول للقراءة، أو عند تمكين ميزة التسجيل.
ويؤكد يانيف نيزري، الباحث الأمني في شركة سونار الذي اكتشف الثغرة الأمنية، أن باحثين آخرين تمكنوا من إعادة إنتاج الخلل والحصول على إثبات مفهوم فعال.
ويشير نزري إلى أنه "نظرًا لأنه من الممكن استغلال الثغرة الأمنية دون مصادقتها، إلى حد ما، فمن السهل جدًا اكتشاف الأنظمة الضعيفة". "فيما يتعلق بالاستغلال، إذا كان المهاجم مهتمًا برفع قراءة الملف التعسفي لتنفيذ التعليمات البرمجية، فسيتطلب ذلك فهمًا أعمق لـ Jenkins والمثال المحدد. تعقيد التصعيد يعتمد على السياق”.
يعالج الإصداران الجديدان من Jenkins 2.442 وLTS الإصدار 2.426.3 الثغرة الأمنية. وقال الاستشارة إن المنظمات التي لا يمكنها الترقية على الفور يجب عليها تعطيل الوصول إلى واجهة سطر الأوامر (CLI) لمنع الاستغلال. "يوصى بشدة بالقيام بذلك للمسؤولين غير القادرين على التحديث الفوري إلى Jenkins 2.442 وLTS 2.426.3. لا يتطلب تطبيق هذا الحل البديل إعادة تشغيل Jenkins.
التصحيح الآن
تقول سارة جونز، محللة أبحاث استخبارات التهديدات السيبرانية في Critical Start، إن المنظمات التي تستخدم Jenkins من الأفضل ألا تتجاهل الثغرة الأمنية. يقول جونز: "تشمل المخاطر سرقة البيانات، واختراق النظام، وتعطل خطوط الأنابيب، واحتمال تعرض إصدارات البرامج للخطر".
أحد أسباب القلق هو حقيقة أن أدوات DevOps مثل Jenkins يمكن أن تحتوي غالبًا على بيانات مهمة وحساسة قد يجلبها المطورون من بيئات الإنتاج عند إنشاء تطبيقات جديدة أو تطويرها. ومن الأمثلة على ذلك ما حدث في العام الماضي عندما عثر باحث أمني على مستند يحتوي على 1.5 مليون فرد على قائمة حظر الطيران الصادرة عن إدارة أمن المواصلات الجلوس بدون حماية على خادم Jenkins التابع لشركة CommuteAir ومقرها أوهايو.
"التصحيح الفوري أمر بالغ الأهمية؛ يقول جونز: "الترقية إلى إصدارات Jenkins 2.442 أو الأحدث (غير LTS) أو 2.427 أو الأحدث (LTS) عناوين CVE-2024-23897". وكممارسة عامة، توصي المنظمات التنموية بتنفيذ نموذج الامتيازات الأقل لتقييد الوصول، وكذلك إجراء فحص الثغرات الأمنية والمراقبة المستمرة للأنشطة المشبوهة. ويضيف جونز: "بالإضافة إلى ذلك، فإن تعزيز الوعي الأمني بين المطورين والمسؤولين يعزز الوضع الأمني العام."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
