Около 45,000 XNUMX серверов Jenkins, доступных в Интернете, остаются непропатченными против критической, недавно обнаруженной уязвимости произвольного чтения файлов, код доказательства использования которой теперь общедоступен.
CVE-2024-23897 влияет на встроенный интерфейс командной строки Jenkins (CLI) и может привести к удаленному выполнению кода в затронутых системах. Команда разработчиков инфраструктуры Jenkins раскрыла уязвимость и выпустила обновленную версию программного обеспечения 24 января.
Эксплойты для проверки концепции
С тех пор эксплойт для подтверждения концепции (PoC) стал доступен код уязвимости, и есть сообщения о злоумышленниках. активно пытается использовать это. 29 января некоммерческая организация ShadowServer, отслеживающая Интернет на предмет вредоносной активности, сообщили, что наблюдали около 45,000 XNUMX Доступные в Интернете экземпляры Jenkins, уязвимые для CVE-2024-23897. Около 12,000 XNUMX уязвимых экземпляров расположены в США; По данным ShadowServer, в Китае почти столько же уязвимых систем.
Многие группы разработчиков корпоративного программного обеспечения используют Jenkins для создания, тестирования и развертывания приложений. Jenkins позволяет организациям автоматизировать повторяющиеся задачи во время разработки программного обеспечения, такие как тестирование, проверки качества кода, сканирование безопасности и развертывание, в процессе разработки программного обеспечения. Jenkins также часто используется в средах непрерывной интеграции и непрерывного развертывания.
Разработчики используют интерфейс командной строки Jenkins для доступа к Jenkins и управления им из сценария или среды оболочки. CVE-2024-23897 присутствует в функции синтаксического анализатора команд CLI, которая включена по умолчанию в Jenkins версии 2.441 и более ранних версиях, а также Jenkins LTS 2.426.2 и более ранних версиях.
«Это позволяет злоумышленникам читать произвольные файлы в файловой системе контроллера Jenkins, используя кодировку символов по умолчанию процесса контроллера Jenkins», — заявила команда Jenkins в отчете. 24 января консультативный. Уязвимость позволяет злоумышленнику с разрешением «Общее/Чтение» (что требуется большинству пользователей Jenkins) читать файлы целиком. Злоумышленник без этого разрешения все равно сможет прочитать первые несколько строк файлов, говорится в сообщении команды Jenkins.
Несколько векторов для RCE
Эта уязвимость также подвергает риску двоичные файлы, содержащие криптографические ключи, используемые для различных функций Jenkins, таких как хранение учетных данных, подписание артефактов, шифрование и дешифрование, а также защищенная связь. В ситуациях, когда злоумышленник может воспользоваться уязвимостью для получения криптографических ключей из двоичных файлов, возможны множественные атаки, предупреждается в рекомендациях Jenkins. К ним относятся атаки удаленного выполнения кода (RCE), когда включена функция корневого URL-адреса ресурса; RCE через файл cookie «Запомнить меня»; RCE посредством атак с использованием межсайтовых сценариев; и атаки с удаленным кодом, которые обходят защиту от подделки межсайтовых запросов, говорится в сообщении.
По словам команды Jenkins, когда злоумышленники могут получить доступ к криптографическим ключам в двоичных файлах через CVE-2024-23897, они также могут расшифровать секреты, хранящиеся в Jenkins, удалить данные или загрузить дамп кучи Java.
Исследователи из SonarSource, которые обнаружили уязвимость и сообщили о ней команде Jenkins. описал уязвимость как разрешение даже неаутентифицированным пользователям иметь хотя бы разрешение на чтение Jenkins при определенных условиях. Это может включать в себя включение авторизации в устаревшем режиме, настройку сервера на разрешение анонимного доступа для чтения или включение функции регистрации.
Янив Низри, исследователь безопасности компании Sonar, обнаруживший уязвимость, подтверждает, что другие исследователи смогли воспроизвести уязвимость и иметь работающий PoC.
«Поскольку в определенной степени можно использовать уязвимость без аутентификации, обнаружить уязвимые системы очень легко», — отмечает Низри. «Что касается эксплуатации, то если злоумышленник заинтересован в повышении уровня чтения произвольного файла до выполнения кода, это потребует более глубокого понимания Дженкинса и конкретного экземпляра. Сложность эскалации зависит от контекста».
Новые версии Jenkins 2.442 и LTS 2.426.3 устраняют эту уязвимость. В рекомендациях говорится, что организациям, которые не могут немедленно выполнить обновление, следует отключить доступ к CLI, чтобы предотвратить эксплуатацию. «Это настоятельно рекомендуется администраторам, которые не могут немедленно выполнить обновление до Jenkins 2.442, LTS 2.426.3. Применение этого обходного пути не требует перезапуска Jenkins».
Исправьте сейчас
Сара Джонс, аналитик по исследованию киберугроз в Critical Start, говорит, что организациям, использующим Jenkins, лучше не игнорировать эту уязвимость. «Риски включают в себя кражу данных, компрометацию системы, нарушение работы конвейеров и возможность взломанных выпусков программного обеспечения», — говорит Джонс.
Одной из причин для беспокойства является тот факт, что инструменты DevOps, такие как Jenkins, часто могут содержать критически важные и конфиденциальные данные, которые разработчики могут извлечь из производственной среды при создании или разработке новых приложений. Показательный случай произошел в прошлом году, когда исследователь безопасности нашел документ, содержащий 1.5 миллиона человек в списке запрещенных для полетов TSA сидит незащищенным на сервере Jenkins, принадлежащем компании CommuteAir, базирующейся в Огайо.
«Немедленное исправление имеет решающее значение; обновление до версии Jenkins 2.442 или новее (без LTS) или 2.427 или новее (LTS) дает адреса CVE-2024-23897», — говорит Джонс. В качестве общей практики она рекомендует организациям-разработчикам внедрять модель с наименьшими привилегиями для ограничения доступа, а также выполнять сканирование уязвимостей и постоянный мониторинг подозрительных действий. Джонс добавляет: «Кроме того, повышение осведомленности разработчиков и администраторов о безопасности укрепляет общее состояние безопасности».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln
