Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Khai thác PoC làm tăng rủi ro xung quanh lỗ hổng quan trọng mới của Jenkins

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 174

Khoảng 45,000 máy chủ Jenkins tiếp xúc với Internet vẫn chưa được vá trước một lỗ hổng đọc tệp tùy ý nghiêm trọng, được tiết lộ gần đây mà mã bằng chứng khai thác hiện đã được công khai.

CVE-2024-23897 ảnh hưởng đến giao diện dòng lệnh Jenkins (CLI) tích hợp và có thể dẫn đến việc thực thi mã từ xa trên các hệ thống bị ảnh hưởng. Nhóm cơ sở hạ tầng của Jenkins đã tiết lộ lỗ hổng này và phát hành phiên bản cập nhật phần mềm vào ngày 24 tháng XNUMX.

Khai thác bằng chứng khái niệm

Kể từ đó, khai thác bằng chứng khái niệm (PoC) Mã đã có sẵn cho lỗ hổng này và có một số báo cáo về những kẻ tấn công tích cực tìm cách khai thác Nó. Vào ngày 29 tháng XNUMX, tổ chức phi lợi nhuận ShadowServer chuyên giám sát hoạt động độc hại trên Internet, báo cáo quan sát thấy khoảng 45,000 Các phiên bản Jenkins tiếp xúc với Internet dễ bị tấn công bởi CVE-2024-23897. Gần 12,000 trường hợp dễ bị tấn công nằm ở Hoa Kỳ; Theo dữ liệu của ShadowServer, Trung Quốc có gần như nhiều hệ thống dễ bị tấn công.

Nhiều nhóm phát triển phần mềm doanh nghiệp sử dụng Jenkins để xây dựng, thử nghiệm và triển khai ứng dụng. Jenkins cho phép các tổ chức tự động hóa các tác vụ lặp đi lặp lại trong quá trình phát triển phần mềm — chẳng hạn như kiểm tra, kiểm tra chất lượng mã, quét bảo mật và triển khai — trong quá trình phát triển phần mềm. Jenkins cũng thường được sử dụng trong môi trường tích hợp liên tục và triển khai liên tục.

Các nhà phát triển sử dụng Jenkins CLI để truy cập và quản lý Jenkins từ tập lệnh hoặc môi trường shell. CVE-2024-23897 hiện diện trong tính năng phân tích cú pháp lệnh CLI được bật theo mặc định trên Jenkins phiên bản 2.441 trở về trước và Jenkins LTS 2.426.2 trở về trước.

Nhóm Jenkins cho biết: “Điều này cho phép kẻ tấn công đọc các tệp tùy ý trên hệ thống tệp của bộ điều khiển Jenkins bằng cách sử dụng mã hóa ký tự mặc định của quy trình bộ điều khiển Jenkins”. tư vấn ngày 24 tháng XNUMX. Lỗ hổng này cho phép kẻ tấn công có quyền Tổng thể/Đọc – thứ mà hầu hết người dùng Jenkins yêu cầu – đọc toàn bộ tệp. Nhóm Jenkins cho biết trong lời khuyên rằng kẻ tấn công không có sự cho phép đó vẫn có thể đọc được một vài dòng đầu tiên của tệp.

Nhiều vectơ cho RCE

Lỗ hổng này cũng gây rủi ro cho các tệp nhị phân chứa khóa mật mã được sử dụng cho các tính năng khác nhau của Jenkins, chẳng hạn như lưu trữ thông tin xác thực, ký giả, mã hóa và giải mã cũng như liên lạc an toàn. Lời khuyên của Jenkins cảnh báo rằng trong tình huống kẻ tấn công có thể khai thác lỗ hổng để lấy khóa mật mã từ các tệp nhị phân, nhiều cuộc tấn công có thể xảy ra. Chúng bao gồm các cuộc tấn công thực thi mã từ xa (RCE) khi chức năng URL gốc tài nguyên được bật; RCE thông qua cookie “Ghi nhớ tôi”; RCE thông qua các cuộc tấn công kịch bản chéo trang; và các cuộc tấn công mã từ xa vượt qua các biện pháp bảo vệ giả mạo yêu cầu trên nhiều trang web, lời khuyên cho biết.

Nhóm Jenkins cho biết, khi kẻ tấn công có thể truy cập các khóa mật mã trong tệp nhị phân thông qua CVE-2024-23897, chúng cũng có thể giải mã các bí mật được lưu trữ trong Jenkins, xóa dữ liệu hoặc tải xuống vùng lưu trữ Java.

Các nhà nghiên cứu từ SonarSource đã phát hiện ra lỗ hổng và báo cáo cho nhóm Jenkins đã mô tả lỗ hổng như cho phép ngay cả những người dùng chưa được xác thực ít nhất cũng có quyền đọc trên Jenkins trong một số điều kiện nhất định. Điều này có thể bao gồm việc bật ủy quyền chế độ cũ hoặc nếu máy chủ được định cấu hình để cho phép truy cập đọc ẩn danh hoặc khi tính năng đăng ký được bật.

Yaniv Nizry, nhà nghiên cứu bảo mật tại Sonar, người đã phát hiện ra lỗ hổng, xác nhận rằng các nhà nghiên cứu khác đã có thể tái tạo lỗ hổng và có PoC đang hoạt động.

Nizry lưu ý: “Vì có thể khai thác lỗ hổng mà không cần xác thực nên ở một mức độ nhất định, rất dễ phát hiện ra các hệ thống dễ bị tấn công”. “Về việc khai thác, nếu kẻ tấn công quan tâm đến việc nâng cấp tệp tùy ý được đọc lên thành thực thi mã, thì điều đó sẽ đòi hỏi sự hiểu biết sâu sắc hơn về Jenkins và trường hợp cụ thể. Mức độ phức tạp của việc leo thang phụ thuộc vào bối cảnh.”

Phiên bản Jenkins 2.442 và LTS 2.426.3 mới giải quyết lỗ hổng này. Khuyến cáo cho biết các tổ chức không thể nâng cấp ngay lập tức nên vô hiệu hóa quyền truy cập CLI để ngăn chặn việc khai thác. “Chúng tôi đặc biệt khuyến khích các quản trị viên không thể cập nhật ngay lên Jenkins 2.442, LTS 2.426.3 ngay lập tức. Áp dụng cách giải quyết này không yêu cầu khởi động lại Jenkins.”

Vá ngay bây giờ

Sarah Jones, nhà phân tích nghiên cứu tình báo về mối đe dọa mạng tại Critical Start, cho biết các tổ chức sử dụng Jenkins sẽ không bỏ qua lỗ hổng này. Jones cho biết: “Các rủi ro bao gồm đánh cắp dữ liệu, xâm phạm hệ thống, đường ống bị gián đoạn và khả năng phát hành phần mềm bị xâm phạm”.

Một lý do gây lo ngại là các công cụ DevOps như Jenkins thường có thể chứa dữ liệu quan trọng và nhạy cảm mà các nhà phát triển có thể đưa vào từ môi trường sản xuất khi xây dựng hoặc phát triển ứng dụng mới. Một trường hợp điển hình đã xảy ra vào năm ngoái khi một nhà nghiên cứu bảo mật tìm thấy một tài liệu có chứa 1.5 triệu cá nhân trong danh sách cấm bay của TSA ngồi không được bảo vệ trên máy chủ Jenkins, thuộc CommuteAir có trụ sở tại Ohio.

“Việc vá lỗi ngay lập tức là rất quan trọng; nâng cấp lên Jenkins phiên bản 2.442 trở lên (không phải LTS) hoặc 2.427 trở lên (LTS) có địa chỉ CVE-2024-23897,” Jones nói. Theo thông lệ chung, cô khuyến nghị các tổ chức phát triển nên triển khai mô hình ít đặc quyền nhất để hạn chế quyền truy cập, đồng thời thực hiện quét lỗ hổng và giám sát liên tục các hoạt động đáng ngờ. Jones cho biết thêm: “Ngoài ra, việc nâng cao nhận thức về bảo mật của các nhà phát triển và quản trị viên sẽ củng cố tình hình bảo mật tổng thể”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.