45k servidores Jenkins expostos a ataques RCE usando exploits públicos
30 de Janeiro de 2024

Pesquisadores encontraram cerca de 45.000 instâncias do Jenkins expostas online que são vulneráveis ao CVE-2024-23897 , uma falha crítica de execução remota de código (RCE) para a qual vários exploits de prova de conceito (PoCs) públicos estão em circulação.

Jenkins é um servidor de automação open-source líder para CI/CD, permitindo que os desenvolvedores otimizem os processos de construção, teste e implementação.

Ele possui extenso suporte a plugins e atende organizações de diversas missões e tamanhos.

Em 24 de janeiro de 2024, o projeto lançou as versões 2.442 e LTS 2.426.3 para corrigir o CVE-2024-23897 , um problema de leitura de arquivo arbitrário que pode levar à execução de comandos da interface de linha de comando (CLI).

O problema surge da funcionalidade do CLI que substitui automaticamente um caractere @ seguido por um caminho de arquivo pelo conteúdo do arquivo, uma funcionalidade destinada a facilitar a análise de argumentos de comando.

No entanto, esse recurso, ativado por padrão, permite que os invasores leiam arquivos arbitrários no sistema de arquivos do controlador Jenkins.

Dependendo do nível de permissões, os invasores podem explorar a falha para acessar informações sensíveis, incluindo as primeiras linhas de qualquer arquivo ou até mesmo arquivos inteiros.

Conforme o fornecedor de software descreveu no boletim de segurança relevante, o CVE-2024-23897 expõe instâncias não corrigidas a vários ataques potenciais, incluindo RCE, manipulando URLs do Resource Root, cookies "Lembre de mim" ou proteções CSRF.

Dependendo da configuração da instância, os invasores poderiam decifrar segredos armazenados, excluir itens dos servidores Jenkins e baixar dumps de heap Java.

No final da semana passada, pesquisadores de segurança alertaram sobre vários exploits funcionais para o CVE-2024-23897 , o que eleva dramaticamente o risco para servidores Jenkins não corrigidos e aumenta a probabilidade de exploração no ambiente real.

Pesquisadores que monitoram honeypots do Jenkins observaram atividades que lembram tentativas genuínas de exploração, embora ainda não haja evidências conclusivas.

Hoje, o serviço de monitoramento de ameaças Shadowserver informou que seus scanners “capturaram” cerca de 45.000 instâncias do Jenkins não corrigidas, indicando uma superfície massiva de ataque.

A maioria das instâncias vulneráveis expostas na internet estão na China (12.000) e nos Estados Unidos (11.830), seguidos pela Alemanha (3.060), Índia (2.681), França (1.431) e Reino Unido (1.029).

As estatísticas do Shadowserver representam um sério aviso para os administradores do Jenkins, pois é muito provável que hackers já estejam realizando varreduras para encontrar alvos potenciais, e o CVE-2024-23897 pode ter sérias repercussões se for explorado com sucesso.

Os usuários que não conseguem aplicar as atualizações de segurança disponíveis imediatamente devem consultar o boletim de segurança do Jenkins para obter recomendações de mitigação e possíveis soluções alternativas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...