लगभग 45,000 इंटरनेट-एक्सपोज़्ड जेनकींस सर्वर एक महत्वपूर्ण, हाल ही में प्रकट की गई मनमाने ढंग से फ़ाइल-पढ़ने की भेद्यता के खिलाफ अप्रकाशित हैं, जिसके लिए शोषण का प्रमाण कोड अब सार्वजनिक रूप से उपलब्ध है।

CVE-2024-23897 अंतर्निहित जेनकींस कमांड लाइन इंटरफ़ेस (सीएलआई) को प्रभावित करता है और प्रभावित सिस्टम पर रिमोट कोड निष्पादन का कारण बन सकता है। जेनकिंस इंफ्रास्ट्रक्चर टीम ने 24 जनवरी को भेद्यता का खुलासा किया और अद्यतन संस्करण सॉफ्टवेयर जारी किया।

अवधारणा के कारनामे का प्रमाण

तब से, प्रूफ़-ऑफ़-कॉन्सेप्ट (PoC) शोषण दोष के लिए कोड उपलब्ध हो गया है और हमलावरों की कुछ रिपोर्टें हैं सक्रिय रूप से शोषण करने का प्रयास कर रहा है यह। 29 जनवरी को, गैर-लाभकारी शैडोसर्वर संगठन, जो दुर्भावनापूर्ण गतिविधि के लिए इंटरनेट पर नज़र रखता है, लगभग 45,000 का अवलोकन करने की सूचना दी गई जेनकींस के इंटरनेट-एक्सपोज़्ड उदाहरण जो CVE-2024-23897 के प्रति संवेदनशील हैं। लगभग 12,000 संवेदनशील उदाहरण अमेरिका में स्थित हैं; शैडोसर्वर डेटा के अनुसार, चीन में लगभग इतनी ही कमजोर प्रणालियाँ हैं।

कई एंटरप्राइज़ सॉफ़्टवेयर विकास टीमें एप्लिकेशन बनाने, परीक्षण करने और तैनात करने के लिए जेनकिंस का उपयोग करती हैं। जेनकींस संगठनों को सॉफ्टवेयर विकास के दौरान दोहराए जाने वाले कार्यों को स्वचालित करने की अनुमति देता है - जैसे कि परीक्षण, कोड गुणवत्ता जांच, सुरक्षा स्कैनिंग और तैनाती - सॉफ्टवेयर विकास प्रक्रिया के दौरान। जेनकींस का उपयोग अक्सर निरंतर एकीकरण और निरंतर तैनाती वातावरण में भी किया जाता है।

डेवलपर्स स्क्रिप्ट या शेल वातावरण से जेनकींस तक पहुंचने और प्रबंधित करने के लिए जेनकींस सीएलआई का उपयोग करते हैं। सीवीई-2024-23897 एक सीएलआई कमांड पार्सर सुविधा में मौजूद है जो जेनकींस संस्करण 2.441 और इससे पहले और जेनकींस एलटीएस 2.426.2 और इससे पहले के संस्करण पर डिफ़ॉल्ट रूप से सक्षम है।

जेनकींस टीम ने कहा, "यह हमलावरों को जेनकींस नियंत्रक प्रक्रिया के डिफ़ॉल्ट चरित्र एन्कोडिंग का उपयोग करके जेनकींस नियंत्रक फ़ाइल सिस्टम पर मनमानी फ़ाइलों को पढ़ने की अनुमति देता है।" जनवरी 24 सलाहकार. दोष समग्र/पढ़ने की अनुमति वाले एक हमलावर को अनुमति देता है - कुछ ऐसा जिसकी अधिकांश जेनकींस उपयोगकर्ताओं को आवश्यकता होगी - संपूर्ण फ़ाइलों को पढ़ने के लिए। जेनकिंस टीम ने सलाह में कहा कि उस अनुमति के बिना एक हमलावर अभी भी फाइलों की पहली कुछ पंक्तियों को पढ़ने में सक्षम होगा।

आरसीई के लिए एकाधिक वेक्टर

भेद्यता विभिन्न जेनकींस सुविधाओं, जैसे क्रेडेंशियल स्टोरेज, आर्टिफैक्ट साइनिंग, एन्क्रिप्शन और डिक्रिप्शन और सुरक्षित संचार के लिए उपयोग की जाने वाली क्रिप्टोग्राफ़िक कुंजियों वाली बाइनरी फ़ाइलों को भी जोखिम में डालती है। जेनकिंस सलाहकार ने चेतावनी दी कि ऐसी स्थितियों में जहां एक हमलावर बाइनरी फ़ाइलों से क्रिप्टोग्राफ़िक कुंजी प्राप्त करने के लिए भेद्यता का फायदा उठा सकता है, कई हमले संभव हैं। इनमें रिसोर्स रूट यूआरएल फ़ंक्शन सक्षम होने पर रिमोट कोड निष्पादन (आरसीई) हमले शामिल हैं; "मुझे याद रखें" कुकी के माध्यम से आरसीई; क्रॉस-साइट स्क्रिप्टिंग हमलों के माध्यम से आरसीई; और रिमोट कोड हमले जो क्रॉस-साइट अनुरोध जालसाजी सुरक्षा को बायपास करते हैं, सलाहकार ने कहा।

जब हमलावर CVE-2024-23897 के माध्यम से बाइनरी फ़ाइलों में क्रिप्टोग्राफ़िक कुंजियों तक पहुंच सकते हैं, तो वे जेनकिंस में संग्रहीत रहस्यों को भी डिक्रिप्ट कर सकते हैं, डेटा हटा सकते हैं, या जावा हीप डंप डाउनलोड कर सकते हैं, जेनकिंस टीम ने कहा।

सोनारसोर्स के शोधकर्ताओं ने भेद्यता की खोज की और जेनकिंस टीम को इसकी सूचना दी असुरक्षा का वर्णन किया यहां तक ​​कि अप्रमाणित उपयोगकर्ताओं को भी कुछ शर्तों के तहत जेनकींस पर कम से कम पढ़ने की अनुमति मिलती है। इसमें लीगेसी मोड प्राधिकरण सक्षम होना शामिल हो सकता है, या यदि सर्वर को अनाम पढ़ने की पहुंच की अनुमति देने के लिए कॉन्फ़िगर किया गया है, या जब साइन-अप सुविधा सक्षम है।

सोनार के सुरक्षा शोधकर्ता यानिव निज़री, जिन्होंने भेद्यता की खोज की, पुष्टि करते हैं कि अन्य शोधकर्ता दोष को पुन: उत्पन्न करने में सक्षम हैं और उनके पास एक कार्यशील पीओसी है।

निज़री कहते हैं, "चूंकि कुछ हद तक अप्रमाणित रूप से भेद्यता का फायदा उठाना संभव है, इसलिए कमजोर प्रणालियों की खोज करना बहुत आसान है।" “शोषण के संबंध में, यदि कोई हमलावर मनमाने फ़ाइल को कोड निष्पादन के लिए पढ़ने में रुचि रखता है, तो उसे जेनकींस और विशिष्ट उदाहरण की कुछ गहरी समझ की आवश्यकता होगी। वृद्धि की जटिलता संदर्भ पर निर्भर है।"

नए जेनकींस संस्करण 2.442 और एलटीएस संस्करण 2.426.3 इस भेद्यता का समाधान करते हैं। सलाह में कहा गया है कि जो संगठन तुरंत अपग्रेड नहीं कर सकते, उन्हें शोषण को रोकने के लिए सीएलआई पहुंच को अक्षम कर देना चाहिए। “जेनकिंस 2.442, एलटीएस 2.426.3 पर तुरंत अपडेट करने में असमर्थ प्रशासकों को ऐसा करने की पुरजोर अनुशंसा की जाती है। इस समाधान को लागू करने के लिए जेनकींस पुनरारंभ की आवश्यकता नहीं है।"

अभी पैच करें

क्रिटिकल स्टार्ट में साइबर-खतरे की खुफिया अनुसंधान विश्लेषक सारा जोन्स का कहना है कि जेनकिंस का उपयोग करने वाले संगठनों के लिए अच्छा होगा कि वे भेद्यता को नजरअंदाज न करें। जोन्स कहते हैं, "जोखिमों में डेटा चोरी, सिस्टम समझौता, बाधित पाइपलाइन और समझौता किए गए सॉफ़्टवेयर रिलीज़ की संभावना शामिल है।"

चिंता का एक कारण यह तथ्य है कि जेनकींस जैसे डेवऑप्स टूल में अक्सर महत्वपूर्ण और संवेदनशील डेटा हो सकता है जिसे डेवलपर्स नए एप्लिकेशन बनाते या विकसित करते समय उत्पादन वातावरण से ला सकते हैं। पिछले साल एक मामला सामने आया था जब एक सुरक्षा शोधकर्ता को एक दस्तावेज़ मिला था टीएसए की नो-फ्लाई सूची में 1.5 लाख व्यक्ति ओहायो स्थित कम्यूटएयर के जेनकिंस सर्वर पर असुरक्षित रूप से बैठा हुआ।

“तत्काल पैचिंग महत्वपूर्ण है; जेनकींस संस्करण 2.442 या बाद में (गैर-एलटीएस) या 2.427 या बाद में (एलटीएस) में अपग्रेड करना सीवीई-2024-23897 को संबोधित करता है,'' जोन्स कहते हैं। एक सामान्य अभ्यास के रूप में वह सिफारिश करती है कि विकास संगठन पहुंच को सीमित करने के लिए कम से कम विशेषाधिकार वाले मॉडल को लागू करें, और संदिग्ध गतिविधियों के लिए भेद्यता स्कैनिंग और निरंतर निगरानी भी करें। जोन्स कहते हैं: "इसके अतिरिक्त, डेवलपर्स और प्रशासकों के बीच सुरक्षा जागरूकता को बढ़ावा देने से समग्र सुरक्षा स्थिति मजबूत होती है।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln