Περίπου 45,000 διακομιστές Jenkins που είναι εκτεθειμένοι στο Διαδίκτυο παραμένουν μη επιδιορθωμένοι έναντι μιας κρίσιμης, πρόσφατα αποκαλυφθείσας ευπάθειας αυθαίρετης ανάγνωσης αρχείων για την οποία ο κώδικας απόδειξης εκμετάλλευσης είναι πλέον διαθέσιμος στο κοινό.

CVE-2024-23897 επηρεάζει την ενσωματωμένη διεπαφή γραμμής εντολών Jenkins (CLI) και μπορεί να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα στα επηρεαζόμενα συστήματα. Η ομάδα υποδομής Jenkins αποκάλυψε την ευπάθεια και κυκλοφόρησε ενημερωμένη έκδοση λογισμικού στις 24 Ιανουαρίου.

Proof-of-Concept Exploits

Από τότε, proof-of-concept (PoC) εκμετάλλευση Ο κώδικας έχει γίνει διαθέσιμος για το ελάττωμα και υπάρχουν ορισμένες αναφορές για εισβολείς επιχειρεί ενεργά να εκμεταλλευτεί το. Στις 29 Ιανουαρίου, ο μη κερδοσκοπικός οργανισμός ShadowServer, ο οποίος παρακολουθεί το Διαδίκτυο για κακόβουλη δραστηριότητα, ανέφερε ότι παρατήρησε περίπου 45,000 Παρουσίες Jenkins που εκτίθενται στο Διαδίκτυο και είναι ευάλωτες στο CVE-2024-23897. Σχεδόν 12,000 από τις ευάλωτες περιπτώσεις βρίσκονται στις ΗΠΑ. Η Κίνα έχει σχεδόν τόσα ευάλωτα συστήματα, σύμφωνα με τα δεδομένα του ShadowServer.

Πολλές ομάδες ανάπτυξης εταιρικού λογισμικού χρησιμοποιούν το Jenkins για τη δημιουργία, τη δοκιμή και την ανάπτυξη εφαρμογών. Το Jenkins επιτρέπει στους οργανισμούς να αυτοματοποιούν επαναλαμβανόμενες εργασίες κατά την ανάπτυξη λογισμικού — όπως δοκιμές, έλεγχοι ποιότητας κώδικα, σάρωση ασφαλείας και ανάπτυξη — κατά τη διαδικασία ανάπτυξης λογισμικού. Το Jenkins χρησιμοποιείται επίσης συχνά σε περιβάλλοντα συνεχούς ενοποίησης και συνεχούς ανάπτυξης.

Οι προγραμματιστές χρησιμοποιούν το Jenkins CLI για πρόσβαση και διαχείριση του Jenkins από ένα σενάριο ή ένα περιβάλλον κελύφους. Το CVE-2024-23897 υπάρχει σε μια δυνατότητα ανάλυσης εντολών CLI που είναι ενεργοποιημένη από προεπιλογή στις εκδόσεις Jenkins 2.441 και προγενέστερες και Jenkins LTS 2.426.2 και παλαιότερες.

"Αυτό επιτρέπει στους εισβολείς να διαβάζουν αυθαίρετα αρχεία στο σύστημα αρχείων του ελεγκτή Jenkins χρησιμοποιώντας την προεπιλεγμένη κωδικοποίηση χαρακτήρων της διαδικασίας ελεγκτή Jenkins", δήλωσε η ομάδα Jenkins στο Συμβουλευτική 24 Ιανουαρίου. Το ελάττωμα επιτρέπει σε έναν εισβολέα με άδεια Συνολικής/Ανάγνωσης - κάτι που θα απαιτούσαν οι περισσότεροι χρήστες του Jenkins - να διαβάσει ολόκληρα αρχεία. Ένας εισβολέας χωρίς αυτή την άδεια θα εξακολουθεί να μπορεί να διαβάζει τις πρώτες γραμμές των αρχείων, είπε η ομάδα Jenkins στη συμβουλευτική.

Πολλαπλά διανύσματα για RCE

Η ευπάθεια θέτει επίσης σε κίνδυνο δυαδικά αρχεία που περιέχουν κρυπτογραφικά κλειδιά που χρησιμοποιούνται για διάφορες λειτουργίες του Jenkins, όπως αποθήκευση διαπιστευτηρίων, υπογραφή τεχνουργημάτων, κρυπτογράφηση και αποκρυπτογράφηση και ασφαλείς επικοινωνίες. Σε περιπτώσεις όπου ένας εισβολέας μπορεί να εκμεταλλευτεί την ευπάθεια για να αποκτήσει κρυπτογραφικά κλειδιά από δυαδικά αρχεία, είναι δυνατές πολλαπλές επιθέσεις, προειδοποίησε η συμβουλευτική Jenkins. Αυτές περιλαμβάνουν επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE) όταν είναι ενεργοποιημένη η συνάρτηση URL ρίζας πόρων. RCE μέσω του cookie "Remember me". RCE μέσω επιθέσεων δέσμης ενεργειών μεταξύ τοποθεσιών. και επιθέσεις απομακρυσμένου κώδικα που παρακάμπτουν τις προστασίες πλαστογράφησης αιτημάτων μεταξύ τοποθεσιών, ανέφερε η συμβουλευτική.

Όταν οι εισβολείς μπορούν να έχουν πρόσβαση σε κρυπτογραφικά κλειδιά σε δυαδικά αρχεία μέσω του CVE-2024-23897, μπορούν επίσης να αποκρυπτογραφήσουν μυστικά που είναι αποθηκευμένα στο Jenkins, να διαγράψουν δεδομένα ή να πραγματοποιήσουν λήψη ενός σωρού Java, είπε η ομάδα Jenkins.

Ερευνητές από το SonarSource που ανακάλυψαν την ευπάθεια και την ανέφεραν στην ομάδα Jenkins περιέγραψε την ευπάθεια καθώς επιτρέπει ακόμη και σε μη πιστοποιημένους χρήστες να έχουν τουλάχιστον άδεια ανάγνωσης στο Jenkins υπό ορισμένες προϋποθέσεις. Αυτό μπορεί να περιλαμβάνει την ενεργοποίηση της εξουσιοδότησης λειτουργίας παλαιού τύπου ή εάν ο διακομιστής έχει ρυθμιστεί ώστε να επιτρέπει την ανώνυμη πρόσβαση ανάγνωσης ή όταν είναι ενεργοποιημένη η δυνατότητα εγγραφής.

Ο Yaniv Nizry, ο ερευνητής ασφαλείας στο Sonar που ανακάλυψε την ευπάθεια, επιβεβαιώνει ότι άλλοι ερευνητές κατάφεραν να αναπαράγουν το ελάττωμα και να έχουν λειτουργικό PoC.

«Δεδομένου ότι είναι δυνατή η εκμετάλλευση της ευπάθειας χωρίς έλεγχο ταυτότητας, σε κάποιο βαθμό, είναι πολύ εύκολο να ανακαλύψουμε ευάλωτα συστήματα», σημειώνει ο Nizry. «Σχετικά με την εκμετάλλευση, εάν ένας εισβολέας ενδιαφέρεται να ανυψώσει το αυθαίρετο αρχείο που διαβάζεται σε εκτέλεση κώδικα, θα απαιτούσε βαθύτερη κατανόηση του Jenkins και της συγκεκριμένης περίπτωσης. Η πολυπλοκότητα της κλιμάκωσης εξαρτάται από το πλαίσιο».

Οι νέες εκδόσεις Jenkins 2.442 και LTS έκδοση 2.426.3 αντιμετωπίζουν την ευπάθεια. Οι οργανισμοί που δεν μπορούν να αναβαθμίσουν αμέσως θα πρέπει να απενεργοποιήσουν την πρόσβαση CLI για να αποτρέψουν την εκμετάλλευση, ανέφερε η συμβουλευτική. "Συνιστάται ανεπιφύλακτα να το κάνουν οι διαχειριστές που δεν μπορούν να ενημερώσουν αμέσως σε Jenkins 2.442, LTS 2.426.3. Η εφαρμογή αυτής της λύσης δεν απαιτεί επανεκκίνηση του Jenkins."

Patch Now

Η Σάρα Τζόουνς, αναλύτρια έρευνας πληροφοριών για τις κυβερνοαπειλές στο Critical Start, λέει ότι οι οργανισμοί που χρησιμοποιούν το Jenkins καλό θα ήταν να μην αγνοήσουν την ευπάθεια. «Οι κίνδυνοι περιλαμβάνουν κλοπή δεδομένων, παραβίαση συστήματος, διαταραχές των αγωγών και την πιθανότητα παραβιασμένης έκδοσης λογισμικού», λέει ο Jones.

Ένας λόγος ανησυχίας είναι το γεγονός ότι τα εργαλεία DevOps όπως το Jenkins μπορούν συχνά να περιέχουν κρίσιμα και ευαίσθητα δεδομένα που οι προγραμματιστές ενδέχεται να φέρουν από περιβάλλοντα παραγωγής κατά τη δημιουργία ή την ανάπτυξη νέων εφαρμογών. Μια τέτοια περίπτωση συνέβη πέρυσι όταν ένας ερευνητής ασφαλείας βρήκε ένα έγγραφο που περιείχε 1.5 εκατομμύριο άτομα στον κατάλογο απαγόρευσης πτήσεων της TSA κάθεται απροστάτευτος σε έναν διακομιστή Jenkins, που ανήκει στην CommuteAir με έδρα το Οχάιο.

«Η άμεση επιδιόρθωση είναι ζωτικής σημασίας. αναβάθμιση σε Jenkins εκδόσεις 2.442 ή νεότερες (non-LTS) ή 2.427 ή νεότερες διευθύνσεις (LTS) CVE-2024-23897», λέει ο Jones. Ως γενική πρακτική συνιστά στους αναπτυξιακούς οργανισμούς να εφαρμόζουν ένα μοντέλο ελάχιστων προνομίων για τον περιορισμό της πρόσβασης και επίσης να κάνουν σάρωση ευπάθειας και συνεχή παρακολούθηση για ύποπτες δραστηριότητες. Ο Jones προσθέτει: «Επιπλέον, η προώθηση της ευαισθητοποίησης για την ασφάλεια μεταξύ των προγραμματιστών και των διαχειριστών ενισχύει τη συνολική στάση ασφαλείας».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln