Rilevamento CVE-2024-23897: Una Vulnerabilità RCE Critica di Jenkins Comporta Rischi Crescenti con il Rilascio degli Exploit PoC
Indice:
Sulla scia della critica divulgazione della vulnerabilità CVE-2024-0204 nel software GoAnywhere MFT di Fortra, un altro difetto critico attira l’attenzione dei difensori informatici. Recentemente, gli sviluppatori di Jenkins hanno affrontato nove bug di sicurezza che colpiscono il server di automazione open-source, inclusa una vulnerabilità critica tracciata come CVE-2024-23897 che può portare a RCE se sfruttata con successo. Con PoC disponibili pubblicamente, ci sono crescenti rischi di sfruttamento di CVE-2024-23897 in una vasta gamma di attacchi mirati ai server Jenkins non aggiornati.
Rileva tentativi di sfruttamento della CVE-2024-23897
L’aumento del volume di attacchi che utilizzano vulnerabilità di sicurezza critiche che colpiscono popolari software open-source sottolinea l’urgenza di affrontare prontamente questi problemi da parte dei difensori. La piattaforma SOC Prime per la difesa informatica collettiva è costantemente aggiornata sulle tendenze del settore per aiutare gli ingegneri della sicurezza a essere tempestivamente equipaggiati con capacità difensive. In sintonia con la divulgazione di una nuova vulnerabilità di perdita di dati di Jenkins conosciuta come CVE-2024-23897 che dà agli attaccanti il via libera per leggere file arbitrari sul file system del controller Jenkins e ottenere RCE, il Team SOC Prime ha prontamente rilasciato algoritmi di rilevamento pertinenti disponibili dal repository di contenuti del Threat Detection Marketplace tramite i link sottostanti. Entrambe le regole rilevano potenziali tentativi di sfruttamento del CVE-2024-23897 basati su un exploit di PoC disponibile pubblicamente. Il codice di rilevamento è mappato su MITRE ATT&CK® e può essere tradotto automaticamente in decine di formati linguistici SIEM, EDR, XDR e Data Lake.
Questo algoritmo di rilevamento riguarda la tattica Lateral Movement ATT&CK e la tecnica di Exploitation of Remote Services (T1210).
Per quanto riguarda il contesto ATT&CK, la regola sopra menzionata tratta la tattica Initial Access e la tecnica Exploit Public-Facing Application (T1190) utilizzata come tecnica principale.
Poiché il rilevamento proattivo delle vulnerabilità rimane una delle principali esigenze dei contenuti SOC, le organizzazioni progressiste cercano costantemente modi per accelerare la loro capacità di rilevare e cacciare le minacce. Clicca il Esplora Rilevamenti pulsante per ottenere algoritmi di rilevamento pronti all’uso che non dipendono dal fornitore per CVE critici arricchiti con metadati utilizzabili che consentono ai difensori di tenere il passo con il panorama delle minacce informatiche in evoluzione.
Analisi CVE-2024-23897
La scoperta di un nuovo difetto critico RCE tracciato come CVE-2024-23897 e che colpisce il popolare strumento di automazione open-source Jenkins per CI/CD fa notizia. Il rilascio pubblico di diversi exploit PoC su GitHub aumenta notevolmente i rischi. Inoltre, alcuni ricercatori hanno segnalato tentativi di sfruttamento sfruttando il difetto in attacchi in-the-wild.
Secondo un recente avviso, Jenkins utilizza la libreria args4j per analizzare gli argomenti e le opzioni di comando sul controller Jenkins durante la gestione dei comandi CLI. L’avviso evidenzia una funzione nel parser di comando che, di default, sostituisce un @carattere seguito da un percorso di file in un argomento con i contenuti del file “expandAtFiles”.
La vulnerabilità identificata consente agli attaccanti di accedere a file arbitrari sul file system del controller Jenkins sfruttando la codifica dei caratteri predefinita del processo del controller Jenkins. CVE-2024-23897 impatta le versioni di Jenkins 2.441 e precedenti, così come le versioni LTS prima della 2.426.2.
Gli avversari con il permesso “Overall/Read” possono accedere e leggere interi file, mentre coloro che non dispongono di questi privilegi possono leggere solo le prime tre righe dei file, a seconda dei comandi CLI disponibili. La vulnerabilità potrebbe anche essere sfruttata per accedere a file binari che contengono chiavi crittografiche, tuttavia, sotto specifiche limitazioni. Oltre alle capacità degli avversari di leggere i contenuti di tutti i file con percorsi di file conosciuti, lo sfruttamento di CVE-2024-23897 può anche portare a una serie di diversi attacchi RCE derivanti dall’accesso acquisito a chiavi crittografiche da file binari.
Per ridurre al minimo i rischi, si raccomanda agli utenti del software di eseguire l’aggiornamento alle versioni Jenkins 2.442 e LTS 2.426.3, in cui la funzione di parser dei comandi è stata disabilitata. Il team di sicurezza di Jenkins consiglia agli amministratori che non possono aggiornare immediatamente alle versioni software sopra menzionate che introducono la correzione di disabilitare l’accesso alla CLI come passaggio di mitigazione temporaneo al CVE-2024-23897. L’applicazione di questo metodo di aggiramento non richiede un riavvio di Jenkins.
La crescente sofisticazione e l’ascesa esponenziale dei volumi di attacco richiedono un’ultra-reattività da parte dei difensori supportati da tecnologie innovative e difesa informatica collettiva. Inizia con Uncoder IO, un IDE open-source per l’ingegneria del rilevamento, per aiutarti a scrivere codice di rilevamento più rapido e migliore contro le minacce emergenti, semplificare il matching degli IOC e tradurre le regole in più linguaggi di sicurezza informatica al volo. Contribuisci a Uncoder su GitHub per aiutarci a far evolvere il progetto e favorire la collaborazione del settore su larga scala.
