Los exploits PoC aumentan los riesgos en torno a la nueva vulnerabilidad crítica de Jenkins

Unos 45,000 servidores Jenkins expuestos a Internet siguen sin parchear contra una vulnerabilidad crítica de lectura arbitraria de archivos recientemente revelada, para la cual el código de prueba de explotación ahora está disponible públicamente.

CVE-2024-23897 afecta la interfaz de línea de comandos (CLI) integrada de Jenkins y puede provocar la ejecución remota de código en los sistemas afectados. El equipo de infraestructura de Jenkins reveló la vulnerabilidad y lanzó una versión actualizada del software el 24 de enero.

Explotaciones de prueba de concepto

Desde entonces, Explotación de prueba de concepto (PoC) El código está disponible para la falla y hay algunos informes de atacantes. intentando activamente explotar él. El 29 de enero, la organización sin fines de lucro ShadowServer, que monitorea Internet en busca de actividad maliciosa, informó haber observado alrededor de 45,000 Instancias de Jenkins expuestas a Internet que son vulnerables a CVE-2024-23897. Casi 12,000 de los casos vulnerables se encuentran en Estados Unidos; China tiene casi la misma cantidad de sistemas vulnerables, según datos de ShadowServer.

Muchos equipos de desarrollo de software empresarial utilizan Jenkins para crear, probar e implementar aplicaciones. Jenkins permite a las organizaciones automatizar tareas repetitivas durante el desarrollo de software (como pruebas, controles de calidad del código, escaneo de seguridad e implementación) durante el proceso de desarrollo de software. Jenkins también se utiliza a menudo en entornos de integración y implementación continua.

Los desarrolladores utilizan la CLI de Jenkins para acceder y administrar Jenkins desde un script o un entorno de shell. CVE-2024-23897 está presente en una función de analizador de comandos CLI que está habilitada de forma predeterminada en las versiones 2.441 y anteriores de Jenkins y en Jenkins LTS 2.426.2 y anteriores.

"Esto permite a los atacantes leer archivos arbitrarios en el sistema de archivos del controlador Jenkins utilizando la codificación de caracteres predeterminada del proceso del controlador Jenkins", dijo el equipo de Jenkins en el aviso del 24 de enero. La falla permite que un atacante con permiso general/lectura, algo que la mayoría de los usuarios de Jenkins necesitarían, lea archivos completos. Un atacante sin ese permiso aún podría leer las primeras líneas de los archivos, dijo el equipo de Jenkins en el aviso.

Múltiples vectores para RCE

La vulnerabilidad también pone en riesgo archivos binarios que contienen claves criptográficas utilizadas para diversas funciones de Jenkins, como almacenamiento de credenciales, firma de artefactos, cifrado y descifrado y comunicaciones seguras. En situaciones en las que un atacante podría aprovechar la vulnerabilidad para obtener claves criptográficas de archivos binarios, son posibles múltiples ataques, advirtió el aviso de Jenkins. Estos incluyen ataques de ejecución remota de código (RCE) cuando la función URL raíz de recursos está habilitada; RCE a través de la cookie “Recordarme”; RCE a través de ataques de scripts entre sitios; y ataques de código remoto que eluden las protecciones contra la falsificación de solicitudes entre sitios, según el aviso.

Cuando los atacantes pueden acceder a claves criptográficas en archivos binarios a través de CVE-2024-23897, también pueden descifrar secretos almacenados en Jenkins, eliminar datos o descargar un volcado de pila de Java, dijo el equipo de Jenkins.

Investigadores de SonarSource que descubrieron la vulnerabilidad y la informaron al equipo de Jenkins. describió la vulnerabilidad como permitir que incluso los usuarios no autenticados tengan al menos permiso de lectura en Jenkins bajo ciertas condiciones. Esto puede incluir tener habilitada la autorización del modo heredado, o si el servidor está configurado para permitir acceso de lectura anónimo, o cuando la función de registro está habilitada.

Yaniv Nizry, el investigador de seguridad de Sonar que descubrió la vulnerabilidad, confirma que otros investigadores han podido reproducir la falla y tienen un PoC funcional.

"Dado que es posible explotar la vulnerabilidad sin autenticación, hasta cierto punto, es muy fácil descubrir sistemas vulnerables", señala Nizry. “Con respecto a la explotación, si un atacante está interesado en elevar el archivo arbitrario leído a ejecución de código, requeriría una comprensión más profunda de Jenkins y la instancia específica. La complejidad de la escalada depende del contexto”.

Las nuevas versiones de Jenkins 2.442 y LTS versión 2.426.3 solucionan la vulnerabilidad. Las organizaciones que no puedan actualizar inmediatamente deben desactivar el acceso a la CLI para evitar la explotación, según el aviso. “Se recomienda encarecidamente hacerlo a los administradores que no pueden actualizar inmediatamente a Jenkins 2.442, LTS 2.426.3. La aplicación de esta solución no requiere reiniciar Jenkins”.

Parchear ahora

Sarah Jones, analista de investigación de inteligencia sobre amenazas cibernéticas en Critical Start, dice que las organizaciones que utilizan Jenkins harían bien en no ignorar la vulnerabilidad. "Los riesgos incluyen robo de datos, compromiso del sistema, interrupciones en los procesos y la posibilidad de lanzamientos de software comprometidos", dice Jones.

Un motivo de preocupación es el hecho de que las herramientas DevOps como Jenkins a menudo pueden contener datos críticos y confidenciales que los desarrolladores pueden obtener de los entornos de producción al crear o desarrollar nuevas aplicaciones. Un ejemplo de ello ocurrió el año pasado cuando un investigador de seguridad encontró un documento que contenía 1.5 millones de personas en la lista de exclusión aérea de la TSA sentado desprotegido en un servidor Jenkins, perteneciente a CommuteAir, con sede en Ohio.

“La aplicación inmediata de parches es crucial; la actualización a las versiones 2.442 o posteriores de Jenkins (no LTS) o 2.427 o posteriores (LTS) aborda CVE-2024-23897”, dice Jones. Como práctica general, recomienda que las organizaciones de desarrollo implementen un modelo de privilegios mínimos para limitar el acceso y también realicen escaneos de vulnerabilidades y monitoreo continuo de actividades sospechosas. Jones añade: "Además, promover la concienciación sobre la seguridad entre los desarrolladores y administradores fortalece la postura general de seguridad".

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/vulnerabilities-threats/poc-exploits-heighten-risks-around-critical-new-jenkins-vuln

Inteligencia de datos generativa

Los exploits PoC aumentan los riesgos en torno a la nueva vulnerabilidad crítica de Jenkins

Explotaciones de prueba de concepto

Múltiples vectores para RCE

Parchear ahora

Los entusiastas de Dogecoin y Pepecoin se unen detrás del nuevo token de IA lanzado por la plataforma Wahoo Exchange – CryptoInfoNet

Lecciones del ensayo FTX: Regular los CEX puede no ser suficiente para prevenir malos actores | Opinión – CryptoInfoNet

Información más reciente

El oro puede haber señalado el fin del repunte de Bitcoin (BTC), según el analista Benjamin Cowen: esto es lo que quiere decir – The Daily Hodl

Litecoin en llamas: una señal misteriosa apunta a una explosión de precios de $100

Esta semana en Crypto Twitter: Bitcoin Runes Mania y más drama legal de Ethereum – Decrypt

Profundizando en los intercambios descentralizados: beneficios y desafíos

El cofundador de Yuga Labs dice que la empresa 'perdió el rumbo' y anuncia despidos en un intento por crear un nuevo equipo criptonativo – The Daily Hodl

MetaMask y Crypto Tax Calculator se unen para salvar a los criptoinversores en esta temporada de impuestos