인터넷에 노출된 약 45,000개의 Jenkins 서버는 최근 공개된 악용 증명 코드가 공개된 중요한 임의 파일 읽기 취약점에 대해 패치가 적용되지 않은 상태로 남아 있습니다.
CVE-2024-23897 내장된 Jenkins 명령줄 인터페이스(CLI)에 영향을 미치며 영향을 받는 시스템에서 원격 코드 실행으로 이어질 수 있습니다. Jenkins 인프라 팀은 24월 XNUMX일 취약점을 공개하고 업데이트된 버전의 소프트웨어를 출시했습니다.
개념 증명 악용
그 이후, 개념 증명(PoC) 익스플로잇 해당 결함에 대한 코드가 공개되었으며 공격자에 대한 일부 보고가 있습니다. 적극적으로 악용하려고 시도함 그것. 인터넷에서 악의적인 활동을 모니터링하는 비영리 단체 ShadowServer는 29월 XNUMX일에 약 45,000명을 관찰한 것으로 보고됨 CVE-2024-23897에 취약한 인터넷에 노출된 Jenkins 인스턴스. 취약한 인스턴스 중 거의 12,000개가 미국에 있습니다. ShadowServer 데이터에 따르면 중국에는 취약한 시스템이 거의 많습니다.
많은 엔터프라이즈 소프트웨어 개발 팀은 Jenkins를 사용하여 애플리케이션을 구축, 테스트 및 배포합니다. Jenkins를 사용하면 조직은 소프트웨어 개발 과정에서 테스트, 코드 품질 검사, 보안 검색, 배포 등 소프트웨어 개발 중에 반복적인 작업을 자동화할 수 있습니다. Jenkins는 지속적인 통합 및 지속적인 배포 환경에서도 자주 사용됩니다.
개발자는 Jenkins CLI를 사용하여 스크립트 또는 셸 환경에서 Jenkins에 액세스하고 관리합니다. CVE-2024-23897은 Jenkins 버전 2.441 이하 및 Jenkins LTS 2.426.2 이하에서 기본적으로 활성화되는 CLI 명령 구문 분석기 기능에 있습니다.
Jenkins 팀은 “이를 통해 공격자는 Jenkins 컨트롤러 프로세스의 기본 문자 인코딩을 사용하여 Jenkins 컨트롤러 파일 시스템에서 임의의 파일을 읽을 수 있습니다.”라고 밝혔습니다. 24월 XNUMX일 주의보. 이 결함으로 인해 공격자는 대부분의 Jenkins 사용자에게 필요한 전체/읽기 권한을 통해 전체 파일을 읽을 수 있습니다. 해당 허가가 없는 공격자는 여전히 파일의 처음 몇 줄을 읽을 수 있다고 Jenkins 팀은 권고에서 밝혔습니다.
RCE에 대한 다중 벡터
또한 이 취약점은 자격 증명 저장소, 아티팩트 서명, 암호화 및 암호 해독, 보안 통신과 같은 다양한 Jenkins 기능에 사용되는 암호화 키가 포함된 바이너리 파일을 위험에 빠뜨립니다. 공격자가 이 취약점을 악용하여 바이너리 파일에서 암호화 키를 얻을 수 있는 상황에서 여러 공격이 가능하다고 Jenkins 권고는 경고했습니다. 여기에는 리소스 루트 URL 기능이 활성화된 경우 원격 코드 실행(RCE) 공격이 포함됩니다. "Remember me" 쿠키를 통한 RCE 크로스 사이트 스크립팅 공격을 통한 RCE 그리고 사이트 간 요청 위조 보호를 우회하는 원격 코드 공격도 있다고 권고는 말했습니다.
공격자가 CVE-2024-23897을 통해 바이너리 파일의 암호화 키에 접근할 수 있으면 Jenkins에 저장된 비밀을 해독하거나 데이터를 삭제하거나 Java 힙 덤프를 다운로드할 수도 있다고 Jenkins 팀은 말했습니다.
취약점을 발견하고 이를 Jenkins 팀에 보고한 SonarSource 연구원 취약점을 설명했습니다. 인증되지 않은 사용자라도 특정 조건에서는 Jenkins에 대해 최소한 읽기 권한을 갖도록 허용합니다. 여기에는 레거시 모드 인증이 활성화된 경우, 서버가 익명 읽기 액세스를 허용하도록 구성된 경우 또는 등록 기능이 활성화된 경우가 포함될 수 있습니다.
취약점을 발견한 Sonar의 보안 연구원 Yaniv Nizry는 다른 연구원들이 결함을 재현하고 PoC가 작동하고 있음을 확인했습니다.
Nizry는 “인증되지 않은 취약점을 악용하는 것이 어느 정도 가능하기 때문에 취약한 시스템을 발견하는 것이 매우 쉽습니다.”라고 말합니다. “악용과 관련하여 공격자가 임의 파일 읽기를 코드 실행으로 승격시키는 데 관심이 있다면 Jenkins와 특정 인스턴스에 대한 더 깊은 이해가 필요합니다. 에스컬레이션의 복잡성은 상황에 따라 달라집니다.”
새로운 Jenkins 버전 2.442 및 LTS 버전 2.426.3은 취약점을 해결합니다. 즉시 업그레이드할 수 없는 조직은 악용을 방지하기 위해 CLI 액세스를 비활성화해야 한다고 권고는 말했습니다. “Jenkins 2.442, LTS 2.426.3으로 즉시 업데이트할 수 없는 관리자에게는 그렇게 하는 것이 좋습니다. 이 해결 방법을 적용하면 Jenkins를 다시 시작할 필요가 없습니다.”
지금 패치하세요
Critical Start의 사이버 위협 정보 연구 분석가인 Sarah Jones는 Jenkins를 사용하는 조직은 취약점을 무시하지 않는 것이 좋을 것이라고 말했습니다. Jones는 "위험에는 데이터 도난, 시스템 손상, 파이프라인 중단, 소프트웨어 릴리스 손상 가능성 등이 포함됩니다."라고 말합니다.
우려되는 한 가지 이유는 Jenkins와 같은 DevOps 도구에 개발자가 새 애플리케이션을 구축하거나 개발할 때 프로덕션 환경에서 가져올 수 있는 중요하고 민감한 데이터가 포함될 수 있다는 사실입니다. 지난해 한 보안 연구원이 다음 내용이 담긴 문서를 발견한 사례가 대표적이다. TSA의 비행 금지 목록에 1.5만 명이 올라 있습니다. 오하이오에 본사를 둔 CommuteAir에 속한 Jenkins 서버에 보호되지 않은 채 앉아 있습니다.
“즉시 패치를 적용하는 것이 중요합니다. Jenkins 버전 2.442 이상(비LTS) 또는 2.427 이상(LTS)으로 업그레이드하면 CVE-2024-23897이 해결됩니다.”라고 Jones는 말합니다. 일반적으로 그녀는 개발 조직이 액세스를 제한하기 위한 최소 권한 모델을 구현하고 의심스러운 활동에 대한 취약성 검색 및 지속적인 모니터링을 수행할 것을 권장합니다. Jones는 "게다가 개발자와 관리자 사이에 보안 인식을 제고하면 전반적인 보안 태세가 강화됩니다."라고 덧붙입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
