Gli exploit sulla RCE di Jenkins sono online e i criminal hacker ne approfittano

Redazione RHC : 29 Gennaio 2024 11:38

Numerosi exploit PoC sono apparsi online per una vulnerabilità critica in Jenkins che consente a persone non autorizzate di leggere file arbitrari. Ancor peggio, alcuni esperti di sicurezza riferiscono che gli hacker criminali stanno già sfruttando il problema per attaccare le infrastrutture IT.

SonarSource ha recentemente scoperto due vulnerabilità in Jenkins che, in determinate condizioni, consentono agli aggressori di accedere ai dati su server vulnerabili ed eseguire comandi CLI arbitrari.

Il primo problema, monitorato con il CVE-2024-23897, è considerato critico e consente agli aggressori non autenticati con autorizzazioni generali/di lettura di leggere dati da file arbitrari sul server Jenkins. Gli aggressori possono leggere le prime righe dei file. Il numero di righe dipende dai comandi CLI disponibili.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il bug è legato al comportamento predefinito del parser args4j in Jenkins, che espande automaticamente il contenuto dei file in argomenti di comando se l’argomento inizia con un carattere “@”, consentendo la lettura di file arbitrari.

Secondo i ricercatori, lo sfruttamento della vulnerabilità può portare all’elevazione dei privilegi al livello di amministratore e all’esecuzione remota di codice arbitrario. Tuttavia, ciò richiederà il rispetto di una serie di condizioni che differiscono per ciascuna variante di attacco.

La seconda vulnerabilità, CVE-2024-23898, è una vulnerabilità WebSocket XSS che consente agli aggressori di eseguire comandi CLI arbitrari inducendo un utente a fare clic su un collegamento dannoso. I rischi associati a questo bug dovrebbero essere mitigati dai meccanismi di protezione esistenti nei browser, ma esistono ancora a causa della mancanza di un’adozione diffusa di queste pratiche.

Il 24 gennaio 2024, gli sviluppatori Jenkins hanno rilasciato correzioni per queste vulnerabilità nelle versioni 2.442 e LTS 2.426.3 e hanno anche pubblicato un bollettino in cui descrivevano possibili scenari di attacco e modi per sfruttare i bug.

Dopo che le informazioni sulle vulnerabilità Jenkins sono diventate pubbliche, molti ricercatori hanno riprodotto alcuni degli scenari di attacco descritti dagli sviluppatori e hanno creato exploit PoC funzionanti, ora pubblicati su GitHub .

Gli exploit prendono di mira principalmente il CVE-2024-23897, che consente agli aggressori di eseguire in remoto codice su server Jenkins senza patch. Molti di questi PoC sono già comprovati e accurati, quindi gli aggressori possono sfruttarli con poche o nessuna modifica.

Alcuni specialisti della sicurezza informatica avvertono che i loro honeypot Jenkins hanno già registrato l’attività corrispondente degli aggressori, indicando tentativi di attacco CVE-2024-23897.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli