Araştırmacılar, çevrimiçi olarak maruz kalan yaklaşık 45.000 Jenkins örneğini, CVE-2024-23897'ye karşı savunmasız buldular, bu da birden fazla kamu tesisi (POC) istismarının dolaşımda olduğu kritik bir uzaktan kod yürütme (RCE) kusuru.
Jenkins, CI/CD için önde gelen açık kaynaklı bir otomasyon sunucusudur ve geliştiricilerin bina, test ve dağıtım işlemlerini kolaylaştırmasına izin verir. Kapsamlı eklenti desteğine sahiptir ve çeşitli görev ve boyutlarda kuruluşlara hizmet eder.
24 Ocak 2024'te proje, CVE-2024-23897'yi düzeltmek için 2.442 ve LTS 2.426.3 sürümlerini yayınladı, bu da keyfi bir komut-satır arayüzü (CLI) komutlarının yürütülmesine yol açabilecek keyfi bir dosya okuma sorunu.
Sorun, CLI'nin bir @ karakterini otomatik olarak değiştiren bir dosya yolunu, dosyanın içeriği ile bir dosya yolunu, komut argümanını ayrıştırmayı kolaylaştırmayı amaçlayan bir işlevden kaynaklanır.
Ancak, varsayılan olarak etkinleştirilen bu özellik, saldırganların Jenkins denetleyicisinin dosya sistemindeki keyfi dosyaları okumasına olanak tanır.
İzin seviyelerine bağlı olarak, saldırganlar herhangi bir dosyanın ilk birkaç satırı veya hatta tüm dosyalar da dahil olmak üzere hassas bilgilere erişmek için kusurdan yararlanabilir.
İlgili güvenlik bülteninde açıklanan yazılım satıcısının CVE-2024-23897, kaynak kökü URL'lerini manipüle ederek "Beni Hatırla" veya CSRF koruma bypass'ı manipüle ederek RCE de dahil olmak üzere çeşitli potansiyel saldırılara maruz kalmamış örnekler ortaya çıkarır.
Örneğin yapılandırmasına bağlı olarak, saldırganlar depolanan sırları şifresini çözebilir, Jenkins sunucularından öğeleri silebilir ve java yığın dökümlerini indirebilir.
Geçen haftanın sonlarında, güvenlik araştırmacıları CVE-2024-23897 için birden fazla çalışma istismarı konusunda uyardı, bu da eşleştirilmemiş Jenkins sunucuları riskini önemli ölçüde yükseltti ve vasıtalık sömürü olasılığını arttırdı.
Jenkins Honeypots'u izleyen araştırmacılar, henüz kesin bir kanıt olmasa da, sömürü için gerçek girişimlere benzeyen faaliyetleri gözlemledi.
Bugün, tehdit izleme hizmeti Shadowserver, tarayıcılarının büyük bir saldırı yüzeyini gösteren yaklaşık 45.000 kaldırılmamış Jenkins örneğini "yakaladığını" bildirdi.
Savunmasız internete maruz kalan örneklerin çoğu Çin (12.000) ve Amerika Birleşik Devletleri (11.830), ardından Almanya (3.060), Hindistan (2.681), Fransa (1.431) ve İngiltere (1.029).
Shadowserver'ın istatistikleri Jenkins yöneticileri için korkunç bir uyarı temsil ediyor, çünkü bilgisayar korsanları zaten potansiyel hedefleri bulmak için taramalar yapıyor ve CVE-2024-23897, başarıyla sömürülürse ciddi yankılar olabilir.
Mevcut güvenlik güncellemelerini hemen uygulayamayan kullanıcılar, azaltma önerileri ve potansiyel geçici çözümler için Jenkins Güvenlik Bülteni'ne danışmalıdır.
Kritik Jenkins RCE Kususu için Serbest Yardımlar, Şimdi Yama
Cisco, iletişim yazılımındaki kritik RCE kusurunu uyarıyor
Kritik Sonicwall Güvenlik Duvarı Yaması Tüm cihazlar için yayınlanmadı
Microsoft, Perforce Helix Core Server'daki kritik RCE kusurunu keşfeder
Bilgisayar korsanları, POC POC'yi kullanarak kritik Apache Struts kusurlarını kullanıyor
Kaynak: Bleeping Computer