Détection CVE-2024-23897 : Une vulnérabilité RCE critique dans Jenkins présente des risques croissants avec la publication des exploits PoC
Table des matières :
Juste après la divulgation critique de la vulnérabilité CVE-2024-0204 dans le logiciel GoAnywhere MFT de Fortra, une autre faille critique attire l’attention des défenseurs du cyberespace. Récemment, les développeurs de Jenkins ont résolu neuf bogues de sécurité affectant le serveur d’automatisation open source, y compris une vulnérabilité critique suivie comme CVE-2024-23897 qui peut conduire à des RCE après son exploitation réussie. Avec des preuves de concept publiquement disponibles, les risques d’exploitation de CVE-2024-23897 augmentent dans une large gamme d’attaques ciblant les serveurs Jenkins non corrigés.
Détecter les tentatives d’exploitation de la CVE-2024-23897
Les volumes croissants d’attaques utilisant des failles de sécurité critiques affectant des logiciels open source populaires soulignent l’urgence d’adresser rapidement ces problèmes par les défenseurs. La plateforme SOC Prime pour la défense cybernétique collective reste constamment à jour des tendances de l’industrie pour aider les ingénieurs de sécurité à être équipés à temps de capacités défensives. En écho à la divulgation d’une nouvelle vulnérabilité de fuite de données Jenkins connue sous le nom de CVE-2024-23897 qui donne aux attaquants le feu vert pour lire des fichiers arbitraires sur le système de fichiers du contrôleur Jenkins et obtenir des RCE, l’équipe SOC Prime a rapidement publié des algorithmes de détection pertinents disponibles depuis le dépôt de contenu du Threat Detection Marketplace via les liens ci-dessous. Les deux règles détectent les tentatives potentielles d’exploitation de la CVE-2024-23897 basées sur un code POC d’exploitation disponible publiquement. Le code de détection est mappé à MITRE ATT&CK® et peut être automatiquement traduit dans des dizaines de formats linguistiques SIEM, EDR, XDR et Data Lake.
Tentative potentielle d’exploitation CVE-2024-23897 (fuite de données Jenkins) (via proxy)
Cet algorithme de détection traite la tactique de déplacement latéral de l’ATT&CK et la technique d’exploitation de services à distance (T1210).
Tentative potentielle d’exploitation CVE-2024-23897 (fuite de données Jenkins) (via serveur web)
Dans le contexte ATT&CK, la règle mentionnée ci-dessus traite la tactique d’accès initial et l’exploitation d’une application exposée publiquement (T1190) utilisée comme technique principale.
Alors que la détection proactive des vulnérabilités reste l’un des principaux besoins en contenu SOC, les organisations progressives recherchent constamment des moyens pour accélérer leur détection de menaces et leur vitesse de chasse. Cliquez sur le bouton Explorez les détections pour obtenir des algorithmes de détection prêts à déployer et indépendants des fournisseurs pour les CVEs critiques enrichis de métadonnées exploitables permettant aux défenseurs de suivre le paysage évolutif des menaces cybernétiques.
Analyse de la CVE-2024-23897
La découverte d’une nouvelle faille critique de RCE suivie comme CVE-2024-23897 et impactant le populaire outil d’automatisation open source Jenkins pour CI/CD fait les gros titres. Une publication publique de plusieurs exploits PoC sur GitHub escalade largement les risques. De plus, certains chercheurs ont signalé des tentatives d’exploitation utilisant la faille dans des attaques en milieu naturel.
Selon un avis récent, Jenkins utilise la bibliothèque args4j pour analyser les arguments et options de commande sur le contrôleur Jenkins lors de la gestion des commandes CLI. L’avis souligne une fonction dans l’analyseur de commande qui, par défaut, remplace un @caractère suivi d’un chemin de fichier dans un argument par le contenu du fichier « expandAtFiles ».
La vulnérabilité identifiée permet aux attaquants d’accéder à des fichiers arbitraires sur le système de fichiers du contrôleur Jenkins en utilisant le codage de caractères par défaut du processus du contrôleur Jenkins. CVE-2024-23897 impacte les versions de Jenkins 2.441 et antérieures, ainsi que les versions LTS avant 2.426.2.
Les adversaires ayant la permission « Overall/Read » peuvent accéder et lire des fichiers entiers, tandis que ceux sans ces privilèges peuvent seulement lire les trois premières lignes des fichiers, en fonction des commandes CLI disponibles. La vulnérabilité pourrait également être utilisée pour accéder à des fichiers binaires contenant des clés cryptographiques, cependant, sous des limitations spécifiques. En plus des capacités de l’adversaire à lire le contenu de tous les fichiers avec des chemins de fichiers connus, l’exploitation de la CVE-2024-23897 peut également mener à une série de différentes attaques RCE découlant d’un accès acquis à des clés cryptographiques à partir de fichiers binaires.
Pour minimiser les risques, il est recommandé aux utilisateurs du logiciel de passer à Jenkins 2.442 et les versions LTS 2.426.3, où la fonction d’analyseur de commande a été désactivée. L’équipe de sécurité Jenkins conseille aux administrateurs incapables de mettre à jour immédiatement vers les versions logicielles susmentionnées introduisant la correction, de désactiver l’accès au CLI comme étape de mitigation temporaire de la CVE-2024-23897. Appliquer cette solution de contournement ne nécessite pas de redémarrage de Jenkins.
La sophistication croissante et l’essor exponentiel des volumes d’attaques nécessitent une ultra-réactivité de la part des défenseurs soutenus par des technologies innovantes et une défense cybernétique collective. Commencez avec Uncoder IO, un IDE open source pour l’ingénierie de détection, pour vous aider à écrire plus vite et mieux des codes de détection contre les menaces émergentes, rationaliser la correspondance des IOC et traduire les règles en plusieurs langues de cybersécurité à la volée. Contribuez à Uncoder sur GitHub pour nous aider à faire évoluer le projet et favoriser la collaboration industrielle à grande échelle.
