CVE-2024-23897 Detection: A Critical Jenkins RCE Vulnerability Poses Growing Risks with PoC Exploits Released

重要な CVE-2024-0204 脆弱性の開示の直後 に、FortraのGoAnywhere MFTソフトウェアで、別の重大な欠陥がサイバーディフェンダーの注意を引きます。最近、Jenkinsの開発者は、オープンソースの自動化サーバーに影響を与える9つのセキュリティバグに対応しました。その中にはCVE-2024-23897として追跡される重大な脆弱性があり、その悪用が成功するとRCEにつながる可能性があります。PoCが公開されているため、パッチが適用されていないJenkinsサーバーを対象とした幅広い攻撃でCVE-2024-23897の悪用のリスクが増大しています。

CVE-2024-23897の悪用試行を検知する

人気のオープンソースソフトウェアに影響を与える重大なセキュリティ欠陥を武器化した攻撃の増加は、守備側がこれらの問題に迅速に対応する必要性を強調しています。集団的サイバー防衛のためのSOC Prime Platformは、セキュリティエンジニアが防御能力をタイムリーに装備できるように業界のトレンドを常に把握しています。Jenkinsのデータリーク脆弱性として知られる新しい脆弱性CVE-2024-23897の開示に共鳴し、攻撃者がJenkinsコントローラーファイルシステム上の任意のファイルを読み取り、RCEを取得する許可を得るために、SOC Primeチームは関連する検知アルゴリズムを迅速にリリースしました。それらは以下のリンクを 통해Threat Detection Marketplaceコンテンツリポジトリから利用可能です。両方のルールは、公開されているPoCエクスプロイトコードに基づいて潜在的なCVE-2024-23897の悪用試行を検知します。検知コードは MITRE ATT&CK® と関連付けられており、自動的にSIEM、EDR、XDR、データレイクのさまざまな言語形式に翻訳できます。

可能なCVE-2024-23897（Jenkins Data Leak Vulnerability）の悪用試行（プロキシ経由）

この検知アルゴリズムは、Lateral Movement ATT&CK戦術およびRemote Servicesの悪用（T1210）技術に対応しています。

可能なCVE-2024-23897（Jenkins Data Leak Vulnerability）の悪用試行（ウェブサーバー経由）

ATT&CKコンテキストに関しては、上記のルールはInitial Access戦術および主要技術としてExploit Public-Facing Application（T1190）を扱っています。

プロアクティブな脆弱性検知がSOCコンテンツの主要なニーズの1つであり続ける中、進歩的な組織は脅威の検知とハンティング速度を加速する方法を常に模索しています。 検知を探す ボタンをクリックして、進化するサイバー脅威の状況に追いつくために防御者を支援する、重要なCVEに対する実装準備が整ったベンダーに依存しない検知アルゴリズムを得ましょう。

検知を探す

CVE-2024-23897の分析

新しい重大なRCE欠陥が、 CVE-2024-23897 として追跡されており、CI/CDのための人気のあるオープンソース自动化ツールJenkinsに影響を与える発見が、見出しを飾りました。いくつかのCVE-2024-23897の PoCエクスプロイトがGitHubで公開されたことで、 リスクが大きく上昇します。さらに、一部の研究者は、野外の攻撃でこの欠陥を活用した悪用試行が報告されています。

によると 最近のアドバイザリ、JenkinsはCLIコマンドの処理中にJenkinsコントローラー上のコマンド引数とオプションを解析するためにargs4jライブラリを利用します。アドバイザリは、コマンドパーサーのデフォルト機能において、引数内のファイルパスに続く @文字が「expandAtFiles」の内容に置き換えられることを強調しています。

特定された脆弱性により、攻撃者はJenkinsコントローラープロセスのデフォルトの文字エンコーディングを利用して、コントローラーファイルシステム上の任意のファイルにアクセスできるようになります。CVE-2024-23897は、Jenkinsバージョン2.441およびそれ以前、ならびに2.426.2より前のLTSバージョンに影響を与えます。

“Overall/Read”権限を持つ敵対者はファイル全体をアクセスおよび読み取ることができますが、これらの権限を持たない敵対者は利用可能なCLIコマンドに依存してファイルの最初の3行だけを読み取ることしかできません。この脆弱性は、暗号化キーを含むバイナリファイルへのアクセスに武器化される可能性もありますが、特定の制限があります。既知のファイルパスを持つすべてのファイルの内容を読む敵対者の能力に加えて、CVE-2024-23897の悪用は、バイナリファイルから取得した暗号化キーへのアクセスから派生するさまざまなRCE攻撃に繋がる可能性もあります。

リスクを最小限に抑えるため、ソフトウェアユーザーは、コマンドパーサー機能が無効になっているJenkins 2.442およびLTS 2.426.3バージョンにアップグレードすることが推奨されます。Jenkinsのセキュリティチームは、上記の修正を導入するソフトウェアバージョンに即座にアップデートできない管理者に対し、一時的なCVE-2024-23897緩和手段としてCLIへのアクセスを無効にすることを助言しています。この 回避策 はJenkinsの再起動を必要としません。

攻撃の増加する洗練度と指数関数的なボリュームの増加により、革新的な技術と集団的なサイバー防衛によって支援された防御者の超迅速な対応が求められています。 Uncoder IOを始めましょう、脅威検知のためのオープンソースIDE、Emerging Threatsに対抗して検知コードを書く速度と精度を高め、IOCのマッチングを簡素化し、リアルタイムで複数のサイバーセキュリティ言語に規則を翻訳します。 GitHubでUncoderに貢献する ことで、プロジェクトの進化を助け、業界の協力を大規模に促進しましょう。