美国网络安全和基础设施安全局 (CISA) 在其已知利用的漏洞目录中添加了一个 Jenkins 命令行界面 (CLI) 错误。
美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了一个 Jenkins 命令行界面 (CLI) 路径遍历漏洞,该漏洞被跟踪为 CVE-2024-23897(CVSS 评分为 9.8)。
2024 年 1 月,研究人员警告说,针对最近披露的关键 Jenkins 漏洞 CVE-2024-23897 的几个概念验证 (PoC) 漏洞已经公开。
Jenkins 是最受欢迎的开源自动化服务器,由 CloudBees 和 Jenkins 社区维护。自动化服务器支持开发人员构建、测试和部署他们的应用程序,它在全球拥有数十万个活跃安装,拥有超过 100 万用户。
开源平台的维护者已经解决了九个安全漏洞,包括一个被追踪为 CVE-2024-23897 的严重漏洞,该漏洞可能导致远程代码执行 (RCE)。该漏洞是由Sonar的研究员Yaniv Nizry报告的,他撰写了对该问题的详细分析。
Jenkins 有一个内置的命令行界面 (CLI),用于从脚本或 shell 环境访问平台。开源软件使用 args4j 库来解析 Jenkins 控制器上的 CLI 命令参数和选项。分析器使用一种功能,该功能将参数中的“@”字符后跟文件路径替换为文件内容 (“expandAtFiles”)。此功能默认处于启用状态,Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用它。
攻击者可以滥用Jenkins控制器进程的默认字符编码,读取控制器文件系统上的任意文件。
具有“Overall/Read”权限的攻击者可以读取整个文件,而没有该权限的攻击者可以读取文件的前三行,具体取决于 CLI 命令。
维护者指出,利用这个漏洞可以读取包含用于各种 Jenkins 功能的加密密钥的二进制文件,即使有一些限制。
受欢迎的网络安全研究员弗洛里安·罗斯(Florian Roth)警告说,已经发布了一些武器化的PoC漏洞。
研究员德国人费尔南德斯(German Fernandez)警告说,该漏洞遭到大规模利用,他查询了Shodan,发现了超过75000个面向互联网的实例。
根据约束性操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期之前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。
专家还建议私营组织审查目录并解决其基础设施中的漏洞。
CISA 命令联邦机构在 2024 年 9 月 9 日之前修复此漏洞。
发表评论
您还未登录,请先登录。
登录