Ungefähr 45,000 im Internet gefährdete Jenkins-Server sind noch nicht gegen eine kritische, kürzlich bekannt gewordene Schwachstelle beim willkürlichen Lesen von Dateien gepatcht, für die jetzt ein Proof-of-Exploit-Code öffentlich verfügbar ist.
CVE-2024-23897 wirkt sich auf die integrierte Jenkins-Befehlszeilenschnittstelle (CLI) aus und kann zur Remote-Codeausführung auf betroffenen Systemen führen. Das Jenkins-Infrastrukturteam hat die Schwachstelle am 24. Januar offengelegt und eine aktualisierte Version der Software veröffentlicht.
Proof-of-Concept-Exploits
Seitdem Proof-of-Concept (PoC) Exploit Code für den Fehler ist verfügbar und es gibt einige Berichte über Angreifer aktiv versuchen auszunutzen Es. Am 29. Januar veröffentlichte die gemeinnützige Organisation ShadowServer, die das Internet auf böswillige Aktivitäten überwacht, gaben an, rund 45,000 beobachtet zu haben Im Internet verfügbare Instanzen von Jenkins, die für CVE-2024-23897 anfällig sind. Fast 12,000 der gefährdeten Fälle befinden sich in den USA; Laut ShadowServer-Daten gibt es in China fast ebenso viele anfällige Systeme.
Viele Entwicklungsteams für Unternehmenssoftware verwenden Jenkins zum Erstellen, Testen und Bereitstellen von Anwendungen. Jenkins ermöglicht es Unternehmen, sich wiederholende Aufgaben während der Softwareentwicklung – wie Tests, Codequalitätsprüfungen, Sicherheitsscans und Bereitstellung – während des Softwareentwicklungsprozesses zu automatisieren. Jenkins wird auch häufig in Continuous-Integration- und Continuous-Deployment-Umgebungen eingesetzt.
Entwickler verwenden die Jenkins-CLI, um über ein Skript oder eine Shell-Umgebung auf Jenkins zuzugreifen und diese zu verwalten. CVE-2024-23897 ist in einer CLI-Befehlsparserfunktion vorhanden, die standardmäßig in den Jenkins-Versionen 2.441 und früher sowie Jenkins LTS 2.426.2 und früher aktiviert ist.
„Dadurch können Angreifer beliebige Dateien im Jenkins-Controller-Dateisystem lesen, indem sie die Standardzeichenkodierung des Jenkins-Controller-Prozesses verwenden“, sagte das Jenkins-Team im Beratung vom 24. Januar. Der Fehler ermöglicht es einem Angreifer mit der Berechtigung „Gesamt/Lesen“ – etwas, das die meisten Jenkins-Benutzer benötigen –, ganze Dateien zu lesen. Ein Angreifer ohne diese Erlaubnis wäre immer noch in der Lage, die ersten Zeilen der Dateien zu lesen, sagte das Jenkins-Team in der Empfehlung.
Mehrere Vektoren für RCE
Die Sicherheitslücke gefährdet auch Binärdateien, die kryptografische Schlüssel enthalten, die für verschiedene Jenkins-Funktionen verwendet werden, wie z. B. die Speicherung von Anmeldeinformationen, das Signieren von Artefakten, die Ver- und Entschlüsselung sowie die sichere Kommunikation. In Situationen, in denen ein Angreifer die Sicherheitslücke ausnutzen könnte, um kryptografische Schlüssel aus Binärdateien abzurufen, seien mehrere Angriffe möglich, warnte die Jenkins-Beratung. Dazu gehören RCE-Angriffe (Remote Code Execution), wenn die Funktion „Resource Root URL“ aktiviert ist. RCE über das „Remember me“-Cookie; RCE durch Cross-Site-Scripting-Angriffe; und Remote-Code-Angriffe, die den Cross-Site-Request-Forgery-Schutz umgehen, heißt es in der Empfehlung.
Wenn Angreifer über CVE-2024-23897 auf kryptografische Schlüssel in Binärdateien zugreifen können, können sie auch in Jenkins gespeicherte Geheimnisse entschlüsseln, Daten löschen oder einen Java-Heap-Dump herunterladen, so das Jenkins-Team.
Forscher von SonarSource, die die Sicherheitslücke entdeckten und sie dem Jenkins-Team meldeten beschrieb die Schwachstelle So können auch nicht authentifizierte Benutzer unter bestimmten Bedingungen zumindest eine Leseberechtigung für Jenkins erhalten. Dazu kann gehören, dass die Autorisierung im Legacy-Modus aktiviert ist oder ob der Server für anonymen Lesezugriff konfiguriert ist oder ob die Anmeldefunktion aktiviert ist.
Yaniv Nizry, der Sicherheitsforscher bei Sonar, der die Schwachstelle entdeckt hat, bestätigt, dass andere Forscher den Fehler reproduzieren konnten und über einen funktionierenden PoC verfügen.
„Da es bis zu einem gewissen Grad möglich ist, die Schwachstelle unauthentifiziert auszunutzen, ist es sehr einfach, anfällige Systeme zu entdecken“, bemerkt Nizry. „Was die Ausnutzung anbelangt: Wenn ein Angreifer daran interessiert ist, die willkürlich gelesene Datei zur Codeausführung zu nutzen, wäre ein tieferes Verständnis von Jenkins und der spezifischen Instanz erforderlich. Die Komplexität der Eskalation hängt vom Kontext ab.“
Die neuen Jenkins-Versionen 2.442 und LTS-Version 2.426.3 beheben die Schwachstelle. Organisationen, die nicht sofort ein Upgrade durchführen können, sollten den CLI-Zugriff deaktivieren, um eine Ausnutzung zu verhindern, heißt es in der Empfehlung. „Administratoren, die nicht in der Lage sind, sofort auf Jenkins 2.442, LTS 2.426.3 zu aktualisieren, wird dies dringend empfohlen. Die Anwendung dieser Problemumgehung erfordert keinen Jenkins-Neustart.“
Jetzt patchen
Sarah Jones, Forschungsanalystin für Cyber-Bedrohungsinformationen bei Critical Start, sagt, dass Unternehmen, die Jenkins nutzen, gut daran täten, die Schwachstelle nicht zu ignorieren. „Zu den Risiken gehören Datendiebstahl, Systemkompromittierung, unterbrochene Pipelines und die Möglichkeit kompromittierter Softwareversionen“, sagt Jones.
Ein Grund für die Besorgnis ist die Tatsache, dass DevOps-Tools wie Jenkins häufig kritische und sensible Daten enthalten können, die Entwickler möglicherweise aus Produktionsumgebungen einbringen, wenn sie neue Anwendungen erstellen oder entwickeln. Ein typischer Fall ereignete sich letztes Jahr, als ein Sicherheitsforscher ein Dokument fand, das Folgendes enthielt: 1.5 Millionen Personen stehen auf der Flugverbotsliste der TSA sitzt ungeschützt auf einem Jenkins-Server, der dem in Ohio ansässigen Unternehmen CommuteAir gehört.
„Sofortiges Patchen ist von entscheidender Bedeutung. Ein Upgrade auf die Jenkins-Versionen 2.442 oder höher (nicht LTS) oder 2.427 oder höher (LTS) behebt CVE-2024-23897“, sagt Jones. Als allgemeine Praxis empfiehlt sie, dass Entwicklungsorganisationen ein Modell der geringsten Rechte zur Zugriffsbeschränkung implementieren und außerdem Schwachstellenscans und eine kontinuierliche Überwachung auf verdächtige Aktivitäten durchführen. Jones fügt hinzu: „Darüber hinaus stärkt die Förderung des Sicherheitsbewusstseins bei Entwicklern und Administratoren die allgemeine Sicherheitslage.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
