Vários exploits de prova de conceito (PoC) para a vulnerabilidade crítica Jenkins CVE-2024-23897 divulgada recentemente foram lançadas. Os pesquisadores alertam para essa divulgação públicas dos exploits.
O servidor Jenkins
Jenkins é o servidor de automação de código aberto mais popular e é mantido pela CloudBees e pela comunidade Jenkins. O servidor de automação oferece suporte aos desenvolvedores para construir, testar e implantar seus aplicativos, possui centenas de milhares de instalações ativas em todo o mundo com mais de 1 milhão de usuários.
Os mantenedores da plataforma de código aberto abordaram nove vulnerabilidades de segurança, incluindo uma falha crítica, rastreada como CVE-2024-23897, que poderia levar à execução remota de código (RCE). A vulnerabilidade foi relatada pelo pesquisador Yaniv Nizry do Sonar que escreveu uma análise detalhada do problema, aponta o Security Affairs.
Jenkins possui uma interface de linha de comando (CLI) integrada para acessar a plataforma a partir de um script ou ambiente shell. O software de código aberto usa a biblioteca args4j para analisar argumentos e opções de comando CLI no controlador Jenkins.
O analisador usa uma funcionalidade que substitui o caractere ‘@’ seguido por um caminho de arquivo em um argumento pelo conteúdo do arquivo (‘expandAtFiles’). Este recurso está habilitado por padrão e Jenkins 2.441 e anteriores, LTS 2.426.2 e anteriores não o desabilitam.
Exploração
Um invasor pode abusar da codificação de caracteres padrão do processo do controlador Jenkins para ler arquivos arbitrários no sistema de arquivos do controlador. Um invasor com permissão “Geral/Leitura” pode ler arquivos inteiros, enquanto um invasor sem permissão pode ler as três primeiras linhas dos arquivos, dependendo dos comandos CLI.
Os mantenedores apontaram que a exploração dessa falha possibilita a leitura de arquivos binários contendo chaves criptográficas utilizadas para diversos recursos do Jenkins, mesmo com algumas limitações.
O popular pesquisador de segurança cibernética Florian Roth alertou sobre o lançamento de algumas explorações de PoC como armas. O pesquisador German Fernandez alertou sobre uma exploração massiva da vulnerabilidade, consultando Shodan, ele encontrou mais de 75.000 instâncias voltadas para a Internet, cita o Security Affairs.
A disponibilidade de “exploits PoC” fará com que vários agentes de ameaças comecem a explorar a vulnerabilidade em ataques em estado selvagem.
Os PoCs são para CVE-2024-23897, que permite aos invasores a execução remota de código em servidores Jenkins sem patch. Muitos desses PoCs já foram validados, portanto, os invasores que procuram servidores expostos podem capturar os scripts e testá-los com o mínimo ou nenhuma modificação. De acordo com o Bleeping Computer, alguns pesquisadores relatam que seus honeypots Jenkins já detectaram atividades em estado selvagem, sugerindo que os hackers começaram a explorar as vulnerabilidades.
