PoC-exploits verhogen de risico's rond kritieke nieuwe Jenkins-vuln

Ongeveer 45,000 aan internet blootgestelde Jenkins-servers zijn nog steeds niet gepatcht tegen een kritieke, onlangs onthulde kwetsbaarheid bij het lezen van willekeurige bestanden, waarvoor proof-of-exploit-code nu openbaar beschikbaar is.

CVE-2024-23897 beïnvloedt de ingebouwde Jenkins-opdrachtregelinterface (CLI) en kan leiden tot uitvoering van externe code op getroffen systemen. Het Jenkins-infrastructuurteam maakte de kwetsbaarheid bekend en bracht op 24 januari een bijgewerkte versie van de software uit.

Proof-of-Concept-exploits

Sindsdien, proof-of-concept (PoC)-exploit Er is code beschikbaar gekomen voor de fout en er zijn enkele meldingen van aanvallers actief proberen te exploiteren Het. Op 29 januari heeft de non-profitorganisatie ShadowServer, die het internet controleert op kwaadaardige activiteiten, rapporteerde ongeveer 45,000 waarnemingen Aan internet blootgestelde exemplaren van Jenkins die kwetsbaar zijn voor CVE-2024-23897. Bijna 12,000 van de kwetsbare instanties bevinden zich in de VS; Volgens gegevens van ShadowServer heeft China bijna evenveel kwetsbare systemen.

Veel ontwikkelingsteams voor bedrijfssoftware gebruiken Jenkins om applicaties te bouwen, testen en implementeren. Met Jenkins kunnen organisaties repetitieve taken tijdens de softwareontwikkeling automatiseren, zoals testen, codekwaliteitscontroles, beveiligingsscans en implementatie, tijdens het softwareontwikkelingsproces. Jenkins wordt ook vaak gebruikt in omgevingen voor continue integratie en continue implementatie.

Ontwikkelaars gebruiken de Jenkins CLI om Jenkins te openen en te beheren vanuit een script of een shell-omgeving. CVE-2024-23897 is aanwezig in een CLI-opdrachtparserfunctie die standaard is ingeschakeld op Jenkins versies 2.441 en eerder en Jenkins LTS 2.426.2 en eerder.

“Hierdoor kunnen aanvallers willekeurige bestanden op het bestandssysteem van de Jenkins-controller lezen met behulp van de standaard tekencodering van het Jenkins-controllerproces”, aldus het Jenkins-team in de 24 januari adviserend. Door de fout kan een aanvaller met de machtiging Overall/Read (iets wat de meeste Jenkins-gebruikers nodig hebben) hele bestanden lezen. Een aanvaller zonder die toestemming zou nog steeds de eerste paar regels van bestanden kunnen lezen, aldus het Jenkins-team in het advies.

Meerdere vectoren voor RCE

Het beveiligingslek brengt ook binaire bestanden in gevaar die cryptografische sleutels bevatten die worden gebruikt voor verschillende Jenkins-functies, zoals opslag van inloggegevens, ondertekening van artefacten, encryptie en decryptie en beveiligde communicatie. In situaties waarin een aanvaller de kwetsbaarheid zou kunnen misbruiken om cryptografische sleutels uit binaire bestanden te verkrijgen, zijn meerdere aanvallen mogelijk, waarschuwde het Jenkins-advies. Deze omvatten RCE-aanvallen (Remote Code Execution) wanneer de Resource Root URL-functie is ingeschakeld; RCE via de “Onthoud mij”-cookie; RCE via cross-site scripting-aanvallen; en externe codeaanvallen die de bescherming tegen vervalsing van verzoeken tussen locaties omzeilen, aldus het advies.

Wanneer aanvallers via CVE-2024-23897 toegang krijgen tot cryptografische sleutels in binaire bestanden, kunnen ze ook geheimen ontsleutelen die zijn opgeslagen in Jenkins, gegevens verwijderen of een Java-heapdump downloaden, aldus het Jenkins-team.

Onderzoekers van SonarSource die de kwetsbaarheid ontdekten en rapporteerden aan het Jenkins-team beschreef de kwetsbaarheid omdat zelfs niet-geauthenticeerde gebruikers onder bepaalde voorwaarden ten minste leesrechten op Jenkins hebben. Dit kan inhouden dat autorisatie in de oude modus is ingeschakeld, of dat de server is geconfigureerd om anonieme leestoegang toe te staan, of dat de aanmeldingsfunctie is ingeschakeld.

Yaniv Nizry, de beveiligingsonderzoeker bij Sonar die de kwetsbaarheid ontdekte, bevestigt dat andere onderzoekers de fout hebben kunnen reproduceren en over een werkende PoC beschikken.

"Aangezien het mogelijk is om de kwetsbaarheid ongeauthenticeerd te misbruiken, is het tot op zekere hoogte heel gemakkelijk om kwetsbare systemen te ontdekken", merkt Nizry op. “Wat betreft exploitatie: als een aanvaller geïnteresseerd is in het uitlezen van een willekeurig bestand om code uit te voeren, zou dit een dieper inzicht in Jenkins en de specifieke instantie vereisen. De complexiteit van escalatie is afhankelijk van de context.”

De nieuwe Jenkins-versies 2.442 en LTS-versie 2.426.3 verhelpen het beveiligingslek. Organisaties die niet onmiddellijk kunnen upgraden, moeten CLI-toegang uitschakelen om misbruik te voorkomen, aldus het advies. “Dit wordt sterk aanbevolen aan beheerders die niet onmiddellijk kunnen updaten naar Jenkins 2.442, LTS 2.426.3. Voor het toepassen van deze oplossing is een herstart van Jenkins niet nodig.”

Nu patchen

Sarah Jones, onderzoeksanalist op het gebied van cyberdreigingen bij Critical Start, zegt dat organisaties die Jenkins gebruiken er goed aan doen de kwetsbaarheid niet te negeren. "De risico's omvatten gegevensdiefstal, systeemcompromis, verstoorde pijpleidingen en de kans op gecompromitteerde softwarereleases", zegt Jones.

Eén reden voor de bezorgdheid is het feit dat DevOps-tools zoals Jenkins vaak kritische en gevoelige gegevens kunnen bevatten die ontwikkelaars uit productieomgevingen kunnen binnenhalen bij het bouwen of ontwikkelen van nieuwe applicaties. Een voorbeeld hiervan deed zich vorig jaar voor toen een beveiligingsonderzoeker een document vond met daarin 1.5 miljoen personen op de no-flylijst van de TSA onbeschermd zitten op een Jenkins-server, eigendom van het in Ohio gevestigde CommuteAir.

“Onmiddellijk patchen is cruciaal; Upgraden naar Jenkins-versies 2.442 of hoger (niet-LTS) of 2.427 of hoger (LTS) adresseert CVE-2024-23897”, zegt Jones. Als algemene praktijk beveelt zij aan dat ontwikkelingsorganisaties een ‘least-privilege’-model implementeren voor het beperken van de toegang, en ook kwetsbaarheidsscans uitvoeren en voortdurend toezicht houden op verdachte activiteiten. Jones voegt hieraan toe: “Bovendien versterkt het bevorderen van het beveiligingsbewustzijn bij ontwikkelaars en beheerders de algehele beveiligingshouding.”

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln

Generatieve data-intelligentie

PoC-exploits verhogen de risico's rond kritieke nieuwe Jenkins-vuln

Proof-of-Concept-exploits

Meerdere vectoren voor RCE

Nu patchen

Hoe u de Rescue Hook in Content-waarschuwing kunt verkrijgen en gebruiken

Hoe u MetaCoins (MC) kunt krijgen in Inhoudswaarschuwing

Laatste intelligentie

Wanneer is de volgende releasedatum van de Valorant-kaart? » Praat Esport

Balatro's eerste grote balanspatch speelt met Fibonacci en maakt een modificatie voor Odd Todd

Balatro's eerste grote balanspatch speelt met Fibonacci en maakt een modificatie voor Odd Todd

Blast R6 Grote Manchester-teams onthuld »TalkEsport

De volgende oorlogsbond van Helldivers 2 maakt vertraging tot een onpatriottisch iets uit het verleden met ‘motivationele schokken’

De volgende oorlogsbond van Helldivers 2 maakt vertraging tot een onpatriottisch iets uit het verleden met ‘motivationele schokken’