Αυτή τη στιγμή κυκλοφορούν διάφορα proof-of-concept (PoC) exploits για μια κρίσιμη ευπάθεια Jenkins που επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να διαβάζουν αρχεία. Ερευνητές ασφαλείας αναφέρουν ότι κάποιοι κυβερνοεγκληματίες εκμεταλλεύονται ενεργά τα exploits σε επιθέσεις.
Το Jenkins είναι open-source automation server που χρησιμοποιείται ευρέως στην ανάπτυξη λογισμικού. Διαδραματίζει κρίσιμο ρόλο στην αυτοματοποίηση διαφόρων τμημάτων της διαδικασίας ανάπτυξης λογισμικού και χρησιμοποιείται από οργανισμούς όλων των μεγεθών, συμπεριλαμβανομένων μεγάλων επιχειρήσεων.
Οι ερευνητές ασφαλείας της SonarSource ανακάλυψαν δύο σφάλματα στο Jenkins που θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε δεδομένα σε ευάλωτους διακομιστές και να εκτελούν εντολές CLI υπό ορισμένες συνθήκες.
Δείτε επίσης: Cisco: Κρίσιμη ευπάθεια σε communications software
Η πρώτη κρίσιμη ευπάθεια (CVE-2024-23897) επιτρέπει σε μη επαληθευμένους εισβολείς με ‘overall/read’ permission να διαβάζουν δεδομένα από αρχεία στον διακομιστή Jenkins. Ακόμα και χωρίς αυτή την άδεια, υπάρχει η δυνατότητα ανάγνωσης των πρώτων γραμμών των αρχείων, με τον αριθμό να εξαρτάται από τις διαθέσιμες εντολές CLI.
Η ευπάθεια έχει να κάνει με την προεπιλεγμένη συμπεριφορά του args4j command parser στο Jenkins, που επεκτείνει αυτόματα τα περιεχόμενα του αρχείου σε command arguments όταν ένα argument ξεκινά με τον χαρακτήρα “@”, επιτρέποντας τη μη εξουσιοδοτημένη ανάγνωση αρχείων στο Jenkins controller file system.
Αυτή η ευπάθεια θα μπορούσε να οδηγήσει σε απόκτηση προνομίων διαχειριστή και απομακρυσμένη εκτέλεση κώδικα. Ωστόσο, πρέπει να πληρούνται ορισμένες προϋποθέσεις, οι οποίες είναι διαφορετικές για κάθε παραλλαγή επίθεσης.
Το δεύτερο σφάλμα, που παρακολουθείται ως CVE-2024-23898, είναι ένα cross-site hijacking ζήτημα του WebSocket, όπου οι εισβολείς μπορούν να εκτελέσουν εντολές CLI εξαπατώντας έναν χρήστη να κάνει κλικ σε έναν κακόβουλο σύνδεσμο. Αυτός ο κίνδυνος θα μπορούσε να μετριαστεί από τις υπάρχουσες προστατευτικές πολιτικές στα προγράμματα περιήγησης, αλλά παραμένει λόγω της έλλειψης καθολικής επιβολής αυτών των πολιτικών.
Δείτε επίσης: Better Search Replace: Hackers στοχεύουν ευπάθεια στο WordPress plugin
Η SonarSource ανέφερε τις δύο ευπάθειες στην ομάδα ασφαλείας της Jenkins στις 13 Νοεμβρίου 2023. Στις 24 Ιανουαρίου 2024, η Jenkins κυκλοφόρησε επιδιορθώσεις για τα δύο ελαττώματα με τις εκδόσεις 2.442 και LTS 2.426.3.
Κυκλοφόρησαν exploits για την κρίσιμη ευπάθεια Jenkins
Καθώς η ίδια η Jenkins κυκλοφόρησε διάφορες πληροφορίες σχετικά με τα ελαττώματα, πολλοί ερευνητές αναπαρήγαγαν PoC exploits που δημοσιεύτηκαν στο GitHub.
Τα PoC προορίζονται για την κρίσιμη ευπάθεια CVE-2024-23897, που επιτρέπει απομακρυσμένη εκτέλεση κώδικα σε μη ενημερωμένους Jenkins servers. Οι ερευνητές πιστεύουν ότι έχει γίνει ήδη εκμετάλλευση.
Οι συνέπειες της μη διόρθωσης των ευπαθειών του Jenkins μπορεί να είναι σοβαρές και εκτεταμένες. Πρώτον, η ευπάθεια RCE επιτρέπει στους επιτιθέμενους να εκτελέσουν κώδικα, πράγμα που μπορεί να οδηγήσει σε παραβίαση της ασφάλειας των δεδομένων.
Δείτε επίσης: Τέλος στις επιθέσεις Ransomware μέσω Zero-Day ευπαθειών;
Δεύτερον, οι επιθέσεις RCE μπορούν να προκαλέσουν απώλεια ή καταστροφή σημαντικών δεδομένων, καθώς οι επιτιθέμενοι μπορούν να εκτελέσουν κώδικα που μπορεί να διαγράψει ή να τροποποιήσει αρχεία.
Τέλος, η μη διόρθωση του ελαττώματος RCE μπορεί να οδηγήσει σε νομικές και ρυθμιστικές συνέπειες, καθώς οι οργανισμοί μπορεί να είναι υποχρεωμένοι να προστατεύουν τα δεδομένα και τις πληροφορίες τους από τέτοιου είδους επιθέσεις.
Πηγή: www.bleepingcomputer.com
 exploits για μια κρίσιμη ευπάθεια Jenkins που επιτρέπει σε μη εξουσιοδοτημένους){kind=link}