CVE-2024-23897 탐지: 공개된 PoC 익스플로잇으로 인해 급증하는 위험을 초래하는 Jenkins의 치명적인 RCE 취약점
목차:
치명적인 CVE-2024-0204 취약성 공개에 이어 Fortra의 GoAnywhere MFT 소프트웨어에서 또 다른 심각한 결함이 사이버 방어자의 관심을 끌고 있습니다. 최근, Jenkins 개발자들은 오픈 소스 자동화 서버에 영향을 미치는 아홉 가지 보안 버그를 해결했으며, 그 중 성공적으로 악용될 경우 RCE를 유발할 수 있는 CVE-2024-23897로 추적되는 치명적인 취약성을 포함하고 있습니다. PoCs가 공개됨에 따라, 보안 패치되지 않은 Jenkins 서버를 대상으로 하는 광범위한 공격에서 CVE-2024-23897 악용의 위험이 증가하고 있습니다.
CVE-2024-23897 악용 시도 탐지
인기 있는 오픈 소스 소프트웨어 사례에 영향을 미치는 치명적인 보안 결함을 무기화한 공격의 증가하는 양은 방어자들이 이러한 문제를 신속하게 해결해야 하는 긴급성을 강조합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 보안 엔지니어들이 방어 기능을 적시에 갖출 수 있도록 산업 동향을 지속적으로 추적하고 있습니다. Jenkins 데이터 유출 취약성인 CVE-2024-23897의 새로운 공개와 관련하여, 공격자들이 Jenkins 컨트롤러 파일 시스템에서 임의 파일을 읽고 RCE를 얻을 수 있는 권한을 부여하는 것으로 반향을 일으키면서, SOC Prime 팀은 아래 제공된 링크를 통해 위협 탐지 마켓플레이스 콘텐츠 저장소에서 사용할 수 있는 관련 탐지 알고리즘을 신속하게 출시했습니다. 두 규칙은 공개적으로 사용 가능한 POC 익스플로잇 코드를 기반으로 가능성 있는 CVE-2024-23897 악용 시도를 탐지합니다. 탐지 코드는 MITRE ATT&CK® 에 매핑되며, 수십 개의 SIEM, EDR, XDR, 데이터 레이크 언어 형식으로 자동으로 번역할 수 있습니다.
가능한 CVE-2024-23897 (Jenkins 데이터 유출 취약성) 악용 시도 (프록시 경유)
이 탐지 알고리즘은 Lateral Movement ATT&CK 전술과 원격 서비스의 악용(T1210) 기술을 다룹니다.
가능한 CVE-2024-23897 (Jenkins 데이터 유출 취약성) 악용 시도 (웹 서버 경유)
ATT&CK 컨텍스트에서 위에 언급한 규칙은 초기 액세스 전술과 주요 기술로 사용되는 공개된 애플리케이션 익스플로잇(T1190)을 다룹니다.
사전 취약성 탐지가 최고 SOC 콘텐츠 요구 중 하나로 남아 있는 만큼, 진보적인 조직들은 위협 탐지와 사냥 속도를 가속화할 방법을 끊임없이 찾고 있습니다. 탐지 탐색 버튼을 클릭하여 진화하는 사이버 위협 환경을 따라잡을 수 있도록 방어자에게 권한을 부여하는 실행 가능한 메타데이터로 풍부한 심각한 CVE에 대한 준비된 벤더 비종속 탐지 알고리즘을 얻으십시오.
CVE-2024-23897 분석
CVE-2024-23897로 추적되는 새로운 치명적인 RCE 결함의 발견은 CVE-2024-23897 및 인기 있는 Jenkins 오픈 소스 CI/CD 자동화 도구에 영향을 미치며, 뉴스 헤드라인을 장식하고 있습니다. 여러 CVE-2024-23897 증거 개념(POC) 익스플로잇이 GitHub에 공개됨에 따라 위험이 상당히 상승합니다. 게다가 일부 연구자들은 현장 공격에서 이 결함을 활용한 악용 시도를 보고했습니다.
에 따르면 최근 자문에서, Jenkins는 CLI 명령을 처리하면서 Jenkins 컨트롤러에서 명령 인수 및 옵션 구문 분석을 위해 args4j 라이브러리를 활용합니다. 자문은 명령 파서의 기본 기능으로, 인수에서 파일 경로가 뒤따르는 @문자를 “expandAtFiles” 파일의 내용으로 대체하는 기능을 강조합니다.
식별된 취약성은 Jenkins 컨트롤러 프로세스의 기본 문자 인코딩을 활용하여 공격자가 Jenkins 컨트롤러 파일 시스템의 임의 파일에 접근할 수 있게 합니다. CVE-2024-23897은 Jenkins 버전 2.441 및 이전 버전과 LTS 버전 2.426.2 이전 버전에 영향을 미칩니다.
“Overall/Read” 권한을 가진 적들은 전체 파일을 접근하고 읽을 수 있으며, 이러한 권한이 없는 경우 사용 가능한 CLI 명령에 따라 파일의 처음 세 줄만 읽을 수 있습니다. 이 취약성은 또한 암호키를 포함하는 이진 파일에 접근하기 위해 무기화될 수 있지만, 특정 제한이 있습니다. 알려진 파일 경로를 가진 모든 파일의 내용을 읽는 적들의 능력에 추가하여, CVE-2024-23897 악용은 또한 이진 파일에서 암호키에 대한 접근 권한에서 비롯된 다양한 RCE 공격을 유발할 수 있습니다.
위험을 최소화하려면 소프트웨어 사용자는 Jenkins 2.442 및 LTS 2.426.3 버전으로 업그레이드 할 것을 권장합니다. 이 버전에서는 명령 파서 기능이 비활성화되었습니다. 문제를 해결하는 데 필요한 위의 소프트웨어 버전으로 즉시 업데이트할 수 없는 관리자들에게 Jenkins 보안 팀은 임시 CVE-2024-23897 완화 단계로 CLI 접근을 비활성화할 것을 권장합니다. 이 대체 방법 은 Jenkins 재시작을 요구하지 않습니다.
공격의 복잡성이 증가하고 공격의 양이 기하급수적으로 증가함에 따라 혁신적인 기술과 집단 사이버 방어에 의해 지원되는 방어자들로부터의 극도로 빠른 대응이 필요합니다. Uncoder IO 시작하기개방형 IDE인 Uncoder IO를 활용하여 발생하는 위협에 대한 더 빠르고 효율적인 탐지 코드를 작성하고, IOC 매칭을 간소화하며, 규칙을 여러 사이버 보안 언어로 실시간으로 번역해 보세요. GitHub에서 Uncoder에 기여하기 를 통해 프로젝트를 진화시키고 대규모 산업 협력을 촉진하십시오.
