Detección de CVE-2024-23897: Una Vulnerabilidad Crítica de RCE en Jenkins Presenta Crecientes Riesgos con Explotaciones PoC Publicadas
Tabla de contenidos:
Poco después de la divulgación crítica de la vulnerabilidad CVE-2024-0204 en el software GoAnywhere MFT de Fortra, otra falla crítica llama la atención de los defensores cibernéticos. Recientemente, los desarrolladores de Jenkins han abordado nueve errores de seguridad que afectan al servidor de automatización de código abierto, incluyendo una vulnerabilidad crítica rastreada como CVE-2024-23897, que puede llevar a RCE tras su explotación exitosa. Con PoCs disponibles públicamente, hay riesgos crecientes de explotación de CVE-2024-23897 en una amplia gama de ataques dirigidos a servidores Jenkins no parcheados.
Detectar Intentos de Explotación de CVE-2024-23897
El aumento en los volúmenes de ataques que aprovechan vulnerabilidades críticas en casos de software de código abierto popular enfatiza la urgencia de abordar rápidamente estos problemas por parte de los defensores. La Plataforma SOC Prime para defensa cibernética colectiva está constantemente actualizándose con tendencias de la industria para ayudar a los ingenieros de seguridad a estar oportunamente equipados con capacidades defensivas. En consonancia con la divulgación de una nueva vulnerabilidad de fuga de datos en Jenkins conocida como CVE-2024-23897 que da luz verde a los atacantes para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins y obtener RCE, el equipo de SOC Prime ha lanzado rápidamente algoritmos de detección relevantes disponibles en el repositorio de contenido del Marketplace de Detección de Amenazas a través de los enlaces a continuación. Ambas reglas detectan posibles intentos de explotación de CVE-2024-23897 basados en un código de explotación PoC disponible públicamente. El código de detección está mapeado a MITRE ATT&CK® y puede ser traducido automáticamente a docenas de formatos de lenguaje SIEM, EDR, XDR y Data Lake.
Este algoritmo de detección aborda la táctica de Movimiento Lateral ATT&CK y la técnica de Explotación de Servicios Remotos (T1210).
En cuanto al contexto ATT&CK, la regla anteriormente referenciada aborda la táctica de Acceso Inicial y la técnica de Explotar Aplicaciones de Cara Pública (T1190) utilizada como técnica principal.
A medida que la detección proactiva de vulnerabilidades sigue siendo una de las principales necesidades de contenido del SOC, las organizaciones progresistas están constantemente buscando formas de acelerar su velocidad de detección de amenazas y caza. Haga clic en el botón Explorar Detecciones para obtener algoritmos de detección listos para implementar, independientes de proveedor, para CVEs críticos enriquecidos con metadatos procesables que permiten a los defensores mantenerse al día con el panorama de amenazas cibernéticas en evolución.
Análisis de CVE-2024-23897
El descubrimiento de una nueva falla crítica de RCE rastreada como CVE-2024-23897 y que impacta en la popular herramienta de automatización de código abierto Jenkins para CI/CD llega a los titulares. La publicación pública de varios exploits PoC de CVE-2024-23897 en GitHub aumenta significativamente los riesgos. Además, algunos investigadores han reportado intentos de explotación aprovechando la falla en ataques en estado salvaje.
De acuerdo con un aviso reciente, Jenkins utiliza la biblioteca args4j para analizar argumentos de comando y opciones en el controlador Jenkins mientras maneja comandos de CLI. El aviso destaca una característica en el analizador de comandos que, por defecto, reemplaza un @carácter seguido de una ruta de archivo en un argumento con los contenidos del archivo “expandAtFiles”.
La vulnerabilidad identificada permite a los atacantes acceder a archivos arbitrarios en el sistema de archivos del controlador Jenkins aprovechando la codificación de caracteres predeterminada del proceso del controlador Jenkins. CVE-2024-23897 impacta en las versiones 2.441 de Jenkins y anteriores, así como en versiones LTS antes de la 2.426.2.
Los adversarios con el permiso «Overall/Read» pueden acceder y leer archivos completos, mientras que aquellos que carecen de estos privilegios solo pueden leer las tres primeras líneas de los archivos, dependiendo de los comandos CLI disponibles. La vulnerabilidad también podría ser utilizada para acceder a archivos binarios que contienen claves criptográficas, aunque bajo limitaciones específicas. Además de las capacidades del adversario para leer el contenido de todos los archivos con rutas de archivo conocidas, la explotación de CVE-2024-23897 también puede llevar a una serie de diferentes ataques de RCE derivados del acceso adquirido a claves criptográficas de archivos binarios.
Para minimizar los riesgos, se recomienda a los usuarios de software actualizar a las versiones 2.442 de Jenkins y LTS 2.426.3, en las cuales la característica del analizador de comandos ha sido deshabilitada. El equipo de seguridad de Jenkins aconseja a los administradores que no puedan actualizar inmediatamente a las versiones de software mencionadas anteriormente que desactiven el acceso a CLI como un paso de mitigación temporal para CVE-2024-23897. Aplicar este solución alternativa no requiere un reinicio de Jenkins.
El creciente nivel de sofisticación y el aumento exponencial en los volúmenes de ataques requieren una ultra-responsividad de los defensores respaldada por tecnologías innovadoras y defensa cibernética colectiva. Comience con Uncoder IO, un IDE de código abierto para Ingeniería de Detección, para ayudarlo a escribir código de detección más rápido y mejor contra amenazas emergentes, agilizar la coincidencia de IOC y traducir reglas a múltiples lenguajes de ciberseguridad al instante. Contribuir a Uncoder en GitHub para ayudarnos a evolucionar el proyecto y fomentar la colaboración en la industria a gran escala.
