Recientemente, se han puesto a disposición varios exploits de prueba de concepto (PoC) para la vulnerabilidad crítica recientemente parcheada (CVE-2024-23897) en Jenkins, y hay evidencia de su explotación en entornos de producción.
CVE-2024-23897:
Jenkins es un servidor de automatización ampliamente utilizado basado en Java que ayuda a los desarrolladores a construir, probar e implementar aplicaciones, permitiendo la integración continua (CI) y la entrega continua (CD). CVE-2024-23897 es una vulnerabilidad que permite a actores de amenazas no autorizados, con permisos de Overall/Read, leer cualquier archivo en la línea de comandos de Jenkins CLI, comprometiendo potencialmente información sensible almacenada en Jenkins.
Esta vulnerabilidad también se puede utilizar para leer archivos binarios que contienen claves criptográficas utilizadas en varias funciones de Jenkins (con algunas limitaciones). El acceso a esta información confidencial puede llevar a:
– Ejecución remota de código utilizando URL de fuente de recursos.
– Ejecución remota de código utilizando la cookie «Remember me».
– Ejecución remota de código a través de ataques de script entre sitios (XSS) a través de registros de compilación.
– Ejecución remota de código al pasar por alto la protección de CSRF.
– Desencriptación de información confidencial almacenada en Jenkins.
– Eliminación de cualquier elemento en Jenkins.
– Descarga de un archivo de volcado Java (Java heap dump).
Jenkins también ha revelado la vulnerabilidad CVE-2024-23898 para la toma de control de WebSocket entre sitios, lo que representa una amenaza de alto nivel y permite a los actores de amenazas ejecutar comandos arbitrarios de CLI engañando a la víctima para que haga clic en un enlace malicioso. Ambas vulnerabilidades fueron informadas y descritas por el equipo de investigación de vulnerabilidades de SonarSource.
Explotaciones públicas:
Se ha publicado PoC para CVE-2024-23897 (1, 2) y puede ser utilizado por atacantes para comprometer servidores de Jenkins sin parchear. También hay informes de explotación de esta vulnerabilidad en entornos de producción.
Ambas vulnerabilidades se han solucionado en las versiones de Jenkins 2.442 y LTS 2.426.3, por lo que se recomienda a los usuarios que apliquen el parche lo antes posible. También están disponibles soluciones alternativas.
Sección de preguntas frecuentes basada en los temas clave e información presentada en el artículo:
1. ¿Qué es Jenkins?
Jenkins es un popular servidor de automatización basado en Java que ayuda a los desarrolladores a construir, probar e implementar aplicaciones a través de la integración continua (CI) y la entrega continua (CD).
2. ¿Qué es la vulnerabilidad CVE-2024-23897 en Jenkins?
CVE-2024-23897 es una vulnerabilidad que permite a actores no autorizados con permisos de Overall/Read leer cualquier archivo en el sistema de archivos del controlador de Jenkins utilizando la línea de comandos de Jenkins CLI. Los usuarios sin los permisos adecuados solo pueden leer las primeras líneas de un archivo.
3. ¿Cuáles son las amenazas potenciales asociadas con esta vulnerabilidad?
Esta vulnerabilidad puede llevar a la ejecución remota de código utilizando URL de fuente de recursos, ejecución remota de código utilizando la cookie «Remember me», ejecución remota de código a través de ataques XSS a través de registros de compilación, ejecución remota de código al pasar por alto la protección de CSRF, desencriptación de información confidencial almacenada en Jenkins, eliminación de cualquier elemento en Jenkins y descarga de un archivo de volcado Java (Java heap dump).
4. ¿Qué es la vulnerabilidad CVE-2024-23898 en Jenkins?
La vulnerabilidad CVE-2024-23898 se relaciona con la toma de control de WebSocket entre sitios, lo que permite la ejecución de comandos arbitrarios de CLI por parte de un actor de amenazas, engañando a la víctima para que haga clic en un enlace malicioso.
5. ¿Quién informó estas vulnerabilidades?
Ambas vulnerabilidades fueron informadas por el equipo de investigación de vulnerabilidades de SonarSource.
6. ¿Existen pruebas públicas de explotación para estas vulnerabilidades?
Sí, se han publicado exploits de prueba de concepto (PoC) para la vulnerabilidad CVE-2024-23897 y pueden ser utilizados por atacantes para comprometer servidores de Jenkins sin parchear. También hay informes de explotación de esta vulnerabilidad en entornos de producción.
7. ¿Cuáles son las versiones de Jenkins recomendadas en las que se han solucionado estas vulnerabilidades?
Las vulnerabilidades se han solucionado en las versiones de Jenkins 2.442 y LTS 2.426.3. Se recomienda a los usuarios de Jenkins que apliquen el parche o utilicen soluciones alternativas disponibles lo antes posible.
8. ¿Existen enlaces relacionados?
Puede encontrar más información sobre Jenkins en el sitio web oficial: https://jenkins.io/
9. ¿Existe algún otro artículo sobre este tema?
No hay otros artículos sobre este tema, y los detalles sobre estas vulnerabilidades se pueden encontrar en el artículo original.
The source of the article is from the blog mendozaextremo.com.ar