Jenkins 重大漏洞 CVE202423897 概述
关键要点
Jenkins CI/CD 自动化服务器的一个严重漏洞被纳入 CISA 已知利用漏洞目录,可能导致远程代码执行RCE和敏感信息泄露。此漏洞首次被恶意软件团体 RansomEXX 利用,对多家印度农村和合作银行造成了供应链攻击。漏洞 CVE202423897 被评定为 CVSS 98,影响 Jenkins 2441 及更早版本,并已在更新版本中修复。在开源的 Jenkins 持续集成/持续交付CI/CD自动化服务器中,发现了一个严重的漏洞,该漏洞可能导致远程代码执行RCE和敏感信息被盗。该漏洞已经被 纳入美国网络安全和基础设施安全局CISA的已知利用漏洞目录。
梯子vpn这一漏洞的发现源于 Juniper Networks 的报告,RansomEXX 勒索软件团伙利用这一弱点渗透到 Brontoo Technology Solutions,后者是 CEdge Technologies 的合作伙伴,此次针对 CEdge 客户的供应链攻击主要影响印度的一些合作社和地区农村银行。
这些攻击首次被发现于 8 月 1 日,Juniper Networks 在 8 月 13 日发布了关于 Jenkins 漏洞作用的报告。
该漏洞被追踪为 CVE202423897,最初于 2024 年 1 月 发布了修复和披露,影响 Jenkins 2441 及更早版本,以及 LTS 24262 及更早版本。该漏洞在版本 2442 和 LTS 24263 中已得到修复。
CVE202423897 漏洞概述
CVE202423897 的 CVSS 分数为 98,源于 Jenkins 内置命令行接口CLI中使用的 args4j 命令解析器的特性。该特性允许用包含在某参数中的文件路径前的“@”字符替换为文件内容。
根据 Jenkins 的安全通告,此瑕疵使得具有 Overall/Read 权限的攻击者能够读取 Jenkins 控制器文件系统中任意文件的全部内容,而未获得该权限的用户只能查看文件的前几行。
然而,来自 Sonar Source 的 Vulnerability Research Team 的研究表明,该漏洞最终可能导致 RCE,通过读取 Jenkins 秘密并提升为管理员权限从而实现。
在漏洞披露后的几天里,关于 Jenkins CVE202423897 的多个 RCE 利用的概念证明已经发布。Jenkins 的安全通告列出了包括通过资源根 URL、记住我 cookies、构建日志中的跨站脚本XSS和跨站请求伪造CSRF保护绕过等五种可能的 RCE 情况。
此外,攻击者还可以利用该漏洞解密存储在 Jenkins 中的机密,删除 Jenkins 中的任何项目,并下载 Jenkins 控制进程或任何代理进程的 Java 堆转储,这可能包含敏感信息。
在漏洞公开后,Shadowserver 基金会报告称,近 45000 个暴露在互联网中的 Jenkins 服务器存在 CVE202423897 漏洞。截至 8 月 18 日, Shadowserver 的仪表板 显示仍有超过 28000 个服务器处于易受攻击状态。
