Pesquisadores encontraram cerca de 45.000 instâncias do Jenkins expostas online que são vulneráveis ao
CVE-2024-23897
, uma falha crítica de execução remota de código (RCE) para a qual vários exploits de prova de conceito (PoCs) públicos estão em circulação.
Jenkins é um servidor de automação open-source líder para CI/CD, permitindo que os desenvolvedores otimizem os processos de construção, teste e implementação.
Ele possui extenso suporte a plugins e atende organizações de diversas missões e tamanhos.
Em 24 de janeiro de 2024, o projeto lançou as versões 2.442 e LTS 2.426.3 para corrigir o
CVE-2024-23897
, um problema de leitura de arquivo arbitrário que pode levar à execução de comandos da interface de linha de comando (CLI).
O problema surge da funcionalidade do CLI que substitui automaticamente um caractere @ seguido por um caminho de arquivo pelo conteúdo do arquivo, uma funcionalidade destinada a facilitar a análise de argumentos de comando.
No entanto, esse recurso, ativado por padrão, permite que os invasores leiam arquivos arbitrários no sistema de arquivos do controlador Jenkins.
Dependendo do nível de permissões, os invasores podem explorar a falha para acessar informações sensíveis, incluindo as primeiras linhas de qualquer arquivo ou até mesmo arquivos inteiros.
Conforme o fornecedor de software descreveu no boletim de segurança relevante, o
CVE-2024-23897
expõe instâncias não corrigidas a vários ataques potenciais, incluindo RCE, manipulando URLs do Resource Root, cookies "Lembre de mim" ou proteções CSRF.
Dependendo da configuração da instância, os invasores poderiam decifrar segredos armazenados, excluir itens dos servidores Jenkins e baixar dumps de heap Java.
No final da semana passada, pesquisadores de segurança alertaram sobre vários exploits funcionais para o
CVE-2024-23897
, o que eleva dramaticamente o risco para servidores Jenkins não corrigidos e aumenta a probabilidade de exploração no ambiente real.
Pesquisadores que monitoram honeypots do Jenkins observaram atividades que lembram tentativas genuínas de exploração, embora ainda não haja evidências conclusivas.
Hoje, o serviço de monitoramento de ameaças Shadowserver informou que seus scanners “capturaram” cerca de 45.000 instâncias do Jenkins não corrigidas, indicando uma superfície massiva de ataque.
A maioria das instâncias vulneráveis expostas na internet estão na China (12.000) e nos Estados Unidos (11.830), seguidos pela Alemanha (3.060), Índia (2.681), França (1.431) e Reino Unido (1.029).
As estatísticas do Shadowserver representam um sério aviso para os administradores do Jenkins, pois é muito provável que hackers já estejam realizando varreduras para encontrar alvos potenciais, e o
CVE-2024-23897
pode ter sérias repercussões se for explorado com sucesso.
Os usuários que não conseguem aplicar as atualizações de segurança disponíveis imediatamente devem consultar o boletim de segurança do Jenkins para obter recomendações de mitigação e possíveis soluções alternativas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...