Выпущены эксплойты для критической уязвимости Jenkins

Множество эксплойтов для проверки концепции (PoC) критической уязвимости Jenkins, позволяющей неаутентифицированным злоумышленникам читать произвольные файлы, стали общедоступными. Некоторые исследователи сообщают, что злоумышленники активно используют недостатки в атаках.

Выпущены эксплойты для критической уязвимости Jenkins. Фото: СС0

Jenkins — это сервер автоматизации с открытым исходным кодом, широко используемый при разработке программного обеспечения, особенно для непрерывной интеграции (CI) и непрерывного развертывания (CD).

Он играет решающую роль в автоматизации различных частей процесса разработки программного обеспечения, таких как создание, тестирование и развертывание приложений. Он поддерживает более тысячи плагинов интеграции и используется организациями всех размеров, включая крупные предприятия.

Исследователи SonarSource обнаружили в Jenkins две уязвимости, которые могут позволить хакерам получить доступ к данным на уязвимых серверах и выполнить произвольные команды CLI при определенных условиях.

Первая критическая уязвимость CVE-2024-23897 позволяет неаутентифицированным злоумышленникам с разрешением «общее/чтение» читать данные из любых файлов на сервере Jenkins.

Злоумышленники без этого разрешения по-прежнему могут читать первые несколько строк файлов, причем их количество зависит от доступных команд CLI.

Проблема связана с поведением по умолчанию синтаксического анализатора команд args4j в Jenkins, который автоматически расширяет содержимое файла до аргументов команды, когда аргумент начинается с символа «@», что позволяет несанкционированное чтение произвольных файлов в файловой системе контроллера Jenkins.

Использование конкретной уязвимости может привести к повышению привилегий администратора и произвольному удаленному выполнению кода. Однако этот шаг зависит от определенных условий, которые должны быть выполнены и которые различны для каждого варианта атаки.

Вторая уязвимость, отслеживаемая как CVE-2024-23898, представляет собой проблему межсайтового перехвата WebSocket, при которой злоумышленники могут выполнять произвольные команды CLI, обманным путем заставляя пользователя щелкнуть вредоносную ссылку.

Этот риск, возникающий из-за этой ошибки, должен быть смягчен существующими защитными политиками в веб-браузерах, но он сохраняется из-за отсутствия универсального применения этих политик.

Специалисты SonarSource сообщили об ошибках команде безопасности Jenkins 13 ноября 2023 года и помогли проверить исправления в последующие месяцы.

24 января 2024 года в Jenkins выпустили исправления для двух ошибок в версиях 2.442 и LTS 2.426.3 и опубликовали рекомендации, в которых описаны различные сценарии атак и пути эксплуатации, а также описания исправлений и возможные обходные пути для тех, кто не может применить меры безопасности. обновления.

Имея теперь обширную информацию о недостатках Jenkins, многие исследователи воспроизвели некоторые сценарии атак и создали рабочие PoC-эксплойты, опубликованные на GitHub.

PoC предназначены для CVE-2024-23897, что позволяет злоумышленникам удаленно выполнять код на непропатченных серверах Jenkins.

Многие из этих PoC уже проверены, поэтому злоумышленники, сканирующие открытые серверы, могут получить сценарии и опробовать их с минимальными изменениями или без них.

Некоторые исследователи сообщают, что их приманки Jenkins уже обнаружили активность. Вероятно, хакеры начали использовать уязвимости.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме