Выпущены эксплойты для критической уязвимости Jenkins
Выпущены эксплойты для критической уязвимости Jenkins. Фото: СС0
Jenkins — это сервер автоматизации с открытым исходным кодом, широко используемый при разработке программного обеспечения, особенно для непрерывной интеграции (CI) и непрерывного развертывания (CD).
Он играет решающую роль в автоматизации различных частей процесса разработки программного обеспечения, таких как создание, тестирование и развертывание приложений. Он поддерживает более тысячи плагинов интеграции и используется организациями всех размеров, включая крупные предприятия.
Исследователи SonarSource обнаружили в Jenkins две уязвимости, которые могут позволить хакерам получить доступ к данным на уязвимых серверах и выполнить произвольные команды CLI при определенных условиях.
Первая критическая уязвимость CVE-2024-23897 позволяет неаутентифицированным злоумышленникам с разрешением «общее/чтение» читать данные из любых файлов на сервере Jenkins.
Злоумышленники без этого разрешения по-прежнему могут читать первые несколько строк файлов, причем их количество зависит от доступных команд CLI.
Проблема связана с поведением по умолчанию синтаксического анализатора команд args4j в Jenkins, который автоматически расширяет содержимое файла до аргументов команды, когда аргумент начинается с символа «@», что позволяет несанкционированное чтение произвольных файлов в файловой системе контроллера Jenkins.
Использование конкретной уязвимости может привести к повышению привилегий администратора и произвольному удаленному выполнению кода. Однако этот шаг зависит от определенных условий, которые должны быть выполнены и которые различны для каждого варианта атаки.
Вторая уязвимость, отслеживаемая как CVE-2024-23898, представляет собой проблему межсайтового перехвата WebSocket, при которой злоумышленники могут выполнять произвольные команды CLI, обманным путем заставляя пользователя щелкнуть вредоносную ссылку.
Этот риск, возникающий из-за этой ошибки, должен быть смягчен существующими защитными политиками в веб-браузерах, но он сохраняется из-за отсутствия универсального применения этих политик.
Специалисты SonarSource сообщили об ошибках команде безопасности Jenkins 13 ноября 2023 года и помогли проверить исправления в последующие месяцы.
24 января 2024 года в Jenkins выпустили исправления для двух ошибок в версиях 2.442 и LTS 2.426.3 и опубликовали рекомендации, в которых описаны различные сценарии атак и пути эксплуатации, а также описания исправлений и возможные обходные пути для тех, кто не может применить меры безопасности. обновления.
Имея теперь обширную информацию о недостатках Jenkins, многие исследователи воспроизвели некоторые сценарии атак и создали рабочие PoC-эксплойты, опубликованные на GitHub.
PoC предназначены для CVE-2024-23897, что позволяет злоумышленникам удаленно выполнять код на непропатченных серверах Jenkins.
Многие из этих PoC уже проверены, поэтому злоумышленники, сканирующие открытые серверы, могут получить сценарии и опробовать их с минимальными изменениями или без них.
Некоторые исследователи сообщают, что их приманки Jenkins уже обнаружили активность. Вероятно, хакеры начали использовать уязвимости.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было