Detecção CVE-2024-23897: Uma Vulnerabilidade Crítica de RCE no Jenkins Representa Riscos Crescentes com Exploits PoC Divulgados
Índice:
Logo após a divulgação crítica da vulnerabilidade CVE-2024-0204 no software GoAnywhere MFT da Fortra, outra falha crítica prende a atenção dos defensores cibernéticos. Recentemente, os desenvolvedores do Jenkins resolveram nove bugs de segurança que afetam o servidor de automação de código aberto, incluindo uma vulnerabilidade crítica rastreada como CVE-2024-23897 que pode levar a RCE após sua exploração bem-sucedida. Com PoCs disponíveis publicamente, há riscos crescentes de exploração do CVE-2024-23897 em uma ampla gama de ataques visando servidores Jenkins não corrigidos.
Detectar Tentativas de Exploração do CVE-2024-23897
Os volumes crescentes de ataques que exploram falhas de segurança críticas que afetam softwares populares de código aberto enfatizam a urgência de resolver prontamente essas questões pelos defensores. A Plataforma SOC Prime para defesa cibernética coletiva está constantemente se mantendo atualizada com as tendências do setor para ajudar os engenheiros de segurança a estarem equipados em tempo hábil com capacidades defensivas. Ressoando com a divulgação de uma nova vulnerabilidade de vazamento de dados do Jenkins conhecida como CVE-2024-23897 que dá aos atacantes luz verde para ler arquivos arbitrários no sistema de arquivos do controlador Jenkins e obter RCE, a equipe do SOC Prime lançou prontamente algoritmos de detecção relevantes disponíveis no repositório de conteúdo do Threat Detection Marketplace por meio dos links abaixo. Ambas as regras detectam potenciais tentativas de exploração do CVE-2024-23897 com base em um código de exploração POC disponível publicamente. O código de detecção é mapeado para MITRE ATT&CK® e pode ser automaticamente traduzido em dezenas de formatos de linguagem SIEM, EDR, XDR e Data Lake.
Este algoritmo de detecção trata da tática de Movimento Lateral em ATT&CK e da técnica de Exploração de Serviços Remotos (T1210).
Quanto ao contexto ATT&CK, a regra acima mencionada aborda a tática de Acesso Inicial e a Exploração de Aplicações Expostas (T1190) usada como técnica principal.
Como a detecção proativa de vulnerabilidades continua sendo uma das principais necessidades de conteúdo do SOC, organizações progressistas estão constantemente em busca de maneiras de acelerar sua velocidade de detecção e caça de ameaças. Clique no Explorar Detecções botão para obter algoritmos de detecção prontos para implantar, independentes de fornecedor, para CVEs críticos enriquecidos com metadados acionáveis que permitem aos defensores acompanhar o cenário de ameaças cibernéticas em evolução.
Análise do CVE-2024-23897
A descoberta de uma nova falha crítica de RCE rastreada como CVE-2024-23897 e impactando a popular ferramenta de automação de código aberto Jenkins para CI/CD chega às manchetes. Um lançamento público de vários exploits PoC do CVE-2024-23897 no GitHub aumenta consideravelmente os riscos. Além disso, alguns pesquisadores relataram tentativas de exploração aproveitando a falha em ataques em estado selvagem.
De acordo com um recente comunicado, o Jenkins utiliza a biblioteca args4j para analisar argumentos de comando e opções no controlador Jenkins ao lidar com comandos CLI. O comunicado destaca um recurso no analisador de comandos que, por padrão, substitui um @caractere seguido por um caminho de arquivo em um argumento pelo conteúdo do arquivo “expandAtFiles”.
A vulnerabilidade identificada permite que os atacantes acessem arquivos arbitrários no sistema de arquivos do controlador Jenkins aproveitando a codificação padrão de caracteres do processo do controlador Jenkins. O CVE-2024-23897 afeta as versões do Jenkins 2.441 e anteriores, bem como as versões LTS antes de 2.426.2.
Adversários com permissão “Overall/Read” podem acessar e ler arquivos inteiros, enquanto aqueles sem esses privilégios só podem ler as três linhas iniciais dos arquivos, dependendo dos comandos CLI disponíveis. A vulnerabilidade também pode ser utilizada para acessar arquivos binários que contêm chaves criptográficas, contudo, sob limitações específicas. Além das capacidades dos adversários de ler o conteúdo de todos os arquivos com caminhos de arquivo conhecidos, a exploração do CVE-2024-23897 também pode levar a uma série de diferentes ataques de RCE derivadas do acesso adquirido a chaves criptográficas de arquivos binários.
Para minimizar os riscos, recomenda-se que os usuários do software atualizem para as versões Jenkins 2.442 e LTS 2.426.3, nas quais o recurso de analisador de comandos foi desativado. A equipe de segurança do Jenkins aconselha os administradores que não conseguem atualizar imediatamente para as versões de software mencionadas acima a introduzir a correção para desativar o acesso à CLI como uma etapa temporária de mitigação do CVE-2024-23897. Aplicar esta solução alternativa não requer reiniciar o Jenkins.
O aumento da sofisticação e do crescimento exponencial nos volumes de ataques exigem ultra-responsividade dos defensores respaldada por tecnologias inovadoras e defesa cibernética coletiva. Comece com o Uncoder IO, um IDE de código aberto para Engenharia de Detecção, para ajudá-lo a escrever um código de detecção mais rápido e melhor contra ameaças emergentes, agilizar a correspondência de IOCs e traduzir regras em múltiplas linguagens de cibersegurança instantaneamente. Contribua para o Uncoder no GitHub para nos ajudar a evoluir o projeto e fomentar a colaboração na indústria em larga escala.
