CVE-2024-23897 Erkennung: Eine kritische Jenkins RCE-Sicherheitslücke birgt wachsende Risiken durch veröffentlichte PoC-Exploits
Inhaltsverzeichnis:
Unmittelbar nach der kritischen Bekanntgabe der CVE-2024-0204-Anfälligkeit in Fortras GoAnywhere MFT-Software erregt eine weitere kritische Schwachstelle die Aufmerksamkeit der Cybersicherheitsverteidiger. Kürzlich haben Jenkins-Entwickler neun Sicherheitsfehler behoben, die den Open-Source-Automatisierungsserver betreffen, einschließlich einer kritischen Schwachstelle, die als CVE-2024-23897 verfolgt wird und bei erfolgreicher Ausnutzung zu RCE führen kann. Mit öffentlichen PoCs steigt das Risiko der Ausnutzung der CVE-2024-23897 in einer Vielzahl von Angriffen, die auf ungepatchte Jenkins-Server abzielen.
Erkennung von Ausnutzungsversuchen der CVE-2024-23897
Die zunehmende Zahl von Angriffen, die kritische Sicherheitslücken in beliebten Open-Source-Softwarefällen ausnutzen, unterstreicht die Dringlichkeit, diese Probleme umgehend durch Verteidiger anzugehen. Die SOC Prime Plattform für kollektive Cyberverteidigung hält ständig mit Branchenentwicklungen Schritt, um Sicherheitsexperten rechtzeitig mit Verteidigungsfähigkeiten auszustatten. In Resonanz mit der Offenlegung einer neuen Jenkins-Datenschutzverletzung, bekannt als CVE-2024-23897, die Angreifern grünes Licht gibt, beliebige Dateien im Dateisystem des Jenkins-Controllers zu lesen und RCE zu erlangen, hat das SOC Prime Team umgehend relevante Erkennungsalgorithmen veröffentlicht, die über die untenstehenden Links aus dem Threat Detection Marketplace Inhalts-Repo verfügbar sind. Beide Regeln erkennen potenzielle Ausnutzungsversuche der CVE-2024-23897 basierend auf einem öffentlich verfügbaren POC-Exploit-Code. Der Erkennungscode ist zugeordnet zu MITRE ATT&CK® und kann automatisch in Dutzende von SIEM-, EDR-, XDR- und Data Lake- Sprachformate übersetzt werden.
Möglicher Ausnutzungsversuch der CVE-2024-23897 (Jenkins-Datenschutzverletzung) (via Proxy)
Dieser Erkennungsalgorithmus befasst sich mit der Lateral Movement ATT&CK-Taktik und der Technik der Ausnutzung von Remote Services (T1210).
Möglicher Ausnutzungsversuch der CVE-2024-23897 (Jenkins-Datenschutzverletzung) (via Webserver)
In Bezug auf den ATT&CK-Kontext befasst sich die oben genannte Regel mit der Initial Access-Taktik und der Ausnutzung öffentlich zugänglicher Anwendungen (T1190) als Haupttechnik.
Da die proaktive Schwachstellenerkennung zu den wichtigsten Bedürfnissen im SOC-Inhalt gehört, suchen fortschrittliche Organisationen ständig nach Möglichkeiten, ihre Bedrohungserkennungs- und Jagdgeschwindigkeit zu erhöhen. Klicken Sie auf die Entdeckungen erkunden Schaltfläche, um bereite, anbieterunabhängige Erkennungsalgorithmen für kritische CVEs zu erhalten, angereichert mit umsetzbaren Metadaten, die Verteidigern helfen, mit der sich entwickelnden Cyber-Bedrohungslandschaft Schritt zu halten.
Analyse der CVE-2024-23897
Die Entdeckung eines neuen kritischen RCE-Fehlers, der als CVE-2024-23897 verfolgt wird und das beliebte Open-Source-Automatisierungstool Jenkins für CI/CD betrifft, macht Schlagzeilen. Eine öffentliche Veröffentlichung mehrerer CVE-2024-23897 PoC-Exploits auf GitHub eskaliert die Risiken erheblich. Darüber hinaus haben einige Forscher Ausnutzungsversuche gemeldet, die die Schwachstelle in Angriffen in freier Wildbahn nutzen.
Laut einem kürzlichen Hinweis, nutzt Jenkins die args4j-Bibliothek zum Parsen von Befehlsargumenten und -optionen auf dem Jenkins-Controller bei der Ausführung von CLI-Befehlen. Der Hinweis hebt ein Merkmal im Befehlsparser hervor, das standardmäßig ein @Zeichen gefolgt von einem Dateipfad in einem Argument mit dem Inhalt der Datei „expandAtFiles“ ersetzt.
Die identifizierte Schwachstelle ermöglicht es Angreifern, beliebige Dateien im Dateisystem des Jenkins-Controllers zuzugreifen, indem die Standardzeichencodierung des Jenkins-Controller-Prozesses genutzt wird. CVE-2024-23897 betrifft Jenkins-Versionen 2.441 und früher sowie LTS-Versionen vor 2.426.2.
Gegner mit der „Overall/Read“-Berechtigung können auf gesamte Dateien zugreifen und sie lesen, während diejenigen ohne diese Berechtigungen nur die ersten drei Zeilen von Dateien lesen können, abhängig von den verfügbaren CLI-Befehlen. Die Schwachstelle könnte auch genutzt werden, um auf Binärdateien zuzugreifen, die kryptografische Schlüssel enthalten, allerdings unter bestimmten Einschränkungen. Zusätzlich zu den Fähigkeiten der Gegner, den Inhalt aller Dateien mit bekannten Dateipfaden zu lesen, kann die Ausnutzung von CVE-2024-23897 auch zu einer Reihe unterschiedlicher RCE-Angriffe führen, die sich aus dem erworbenen Zugriff auf kryptografische Schlüssel aus Binärdateien ergeben.
Um die Risiken zu minimieren, wird Softwarebenutzern empfohlen, auf die Jenkins-Versionen 2.442 und LTS 2.426.3 zu aktualisieren, bei denen die Befehlsparser-Funktion deaktiviert wurde. Das Jenkins-Sicherheitsteam rät Administratoren, die nicht sofort auf die oben genannten Softwareversionen mit der Korrektur aktualisieren können, den Zugang zur CLI als vorübergehende CVE-2024-23897-Minderungsmaßnahme zu deaktivieren. Die Anwendung dieser Umgehung erfordert keinen Neustart von Jenkins.
Die steigende Komplexität und ein exponentieller Anstieg des Angriffsvolumens erfordern ultra-schnelles Reagieren von Verteidigern, unterstützt durch innovative Technologien und kollektive Cyberabwehr. Starten Sie mit Uncoder IO, einer Open-Source-IDE für Detection Engineering, um Ihnen zu helfen, schneller und besser Erkennungscode gegen aufkommende Bedrohungen zu schreiben, IOC-Abgleiche zu vereinfachen und Regeln spontan in mehrere Cybersicherheitssprachen zu übersetzen. Beitragen zu Uncoder auf GitHub um uns zu helfen, das Projekt weiterzuentwickeln und die branchenweite Zusammenarbeit in großem Umfang zu fördern.
