ClickCease Alerta: Vulnerabilidades en Jenkins abren servidores a ataques RCE

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta: Vulnerabilidades en Jenkins abren servidores a ataques RCE

Wajahat Raja

5 de febrero de 2024 - Equipo de expertos TuxCare

Jenkins, una influyente plataforma de automatización de código abierto basada en Java célebre por su amplio ecosistema de plugins y sus capacidades de integración continua, ha revelado recientemente una serie de vulnerabilidades en sus ofertas. Una vulnerabilidad particularmente crítica, que conlleva el potencial de ejecución remota de código (RCE) ataquesque requiere atención urgente. En este blog, profundizamos en las implicaciones críticas de vulnerabilidades de Jenkinsarrojando luz sobre la intrincada naturaleza de los riesgos de seguridad planteados por la vulnerabilidad RCE recientemente revelada, CVE-2024-23897.


Vulnerabilidades de Jenkins al descubierto

 

Rastreado bajo CVE-2024-23897 con una puntuación de gravedad de 9,8, la vulnerabilidad en Jenkins se deriva de un problema de lectura arbitraria de archivos que afecta a su interfaz de línea de comandos (CLI) integrada. Esta CLI, utilizada para acceder a Jenkins desde entornos de script o shell, utiliza la biblioteca args4j para analizar comandos. 

En concreto, una función llamada "expandAtFiles" del analizador sintáctico sustituye la "@" seguido de una ruta de archivo con el contenido del archivo. Esta función está activada por defecto en las versiones de Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores, sirviendo como un potencial punto de entrada para atacantes para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins.


Desembalar los riesgos

 

La vulnerabilidad CVE-2023-23897 permite a potenciales atacantes con permisos Overall/Read leer archivos enteros. Incluso sin este permiso, los atacantes pueden acceder a las primeras líneas, con el número de líneas determinado por los comandos CLI disponibles. En particular, los archivos binarios que contienen claves criptográficas pueden ser leídos bajo ciertas restricciones.

Aparte de leer el contenido de los archivos, Jenkins ha esbozado posibles escenarios de ataque que los actores de amenazas podrían explotar para lograr RCE a través de esta vulnerabilidad. Es crucial destacar que estos ataques solo son posibles si los atacantes pueden obtener claves criptográficas de archivos binarios.


Posibles vectores de ataque

 

Comprender las vías a través de las cuales los atacantes pueden explotar las vulnerabilidades del software de código abierto es crucial para una defensa eficaz. A continuación, exploramos varios vectores de ataque potenciales que los actores de amenazas pueden aprovechar para explotar la vulnerabilidad Jenkins RCE (CVE-2024-23897).

 

  1. RCE a través de Resource Root URLs: Este exploit requiere que la funcionalidad Resource Root URL esté habilitada. Los atacantes, en la primera variante, utilizan el CLI WebSocket endpoint, necesitando el conocimiento o la capacidad de adivinar el nombre de usuario de un usuario con permiso Overall/Read. La segunda variante requiere la posesión de un token API para una cuenta de usuario no anónima, sin que el permiso Overall/Read sea un requisito previo.
  2. RCE a través de "Recuérdame" Cookie: Los atacantes pueden falsificar una cookie "Recuérdame " para iniciar sesión en Jenkins a través de un navegador web, obteniendo acceso a la Consola de Script y manipulando una cookie para una cuenta de administrador. Este exploit requiere que la función "Remember me " esté habilitada, junto con el permiso Overall/Read para acceder al contenido más allá de las líneas iniciales de los archivos.
  3. RCE mediante ataques de secuencias de comandos en sitios cruzados (XSS) almacenados a través de registros de compilación: Los atacantes pueden ejecutar ataques XSS inyectando HTML y JavaScript arbitrarios en los registros de construcción a través de objetos de nota de consola serializados falsificados. El éxito de la explotación depende del control del atacante sobre la salida del registro de compilación, que normalmente se consigue a través de mecanismos como pull requests.
  4. RCE a través de la evasión de la protección CSRF: Mediante el uso de tokens CSRF falsificados ("migas"), los atacantes pueden realizar ataques CSRF a través del envío de peticiones POST con una miga válida.

 

Parchear Jenkins por seguridad

 

Protección contra ciberamenazas a los sistemas CI/CD requiere un enfoque global que aborde las vulnerabilidades en cada etapa del proceso de desarrollo. Yaniv Nizry, investigador de seguridad de SonarSource, merece todo el reconocimiento por descubrir y notificar el fallo en 13 de noviembre de 2023.

El problema se ha solucionado en Jenkins 2.442 y LTS 2.426.3, donde la función de análisis de comandos se ha desactivado como medida preventiva. Como solución a corto plazo hasta que se pueda aplicar el parche, se recomienda encarecidamente deshabilitar temporalmente el acceso a la CLI.

 

Vulnerabilidades anteriores de Jenkins


Este desarrollo se produce casi un año después de que Jenkins abordara las graves vulnerabilidades de seguridad conocidas como CorePlague (CVE-2023-27898 y CVE-2023-27905), lo que pone de relieve el compromiso continuo de la plataforma para
asegurar las instancias de Jenkins.

Añadiendo urgencia a la situación, pruebas de concepto (PoC) de exploits para CVE-2024-23897 se han hecho públicos en GitHub tras la revelación del fallo. Se insta encarecidamente a los usuarios a que actualicen sus instalaciones de Jenkins a la última versión lo antes posible para mitigar los posibles riesgos de seguridad del servidor.

 

Conclusión


En conclusión, las
vulnerabilidades de Jenkins requieren la atención inmediata de la comunidad. Es primordial comprender los riesgos, aplicar las correcciones recomendadas y mantenerse informado sobre las actualizaciones de seguridad. La ciberseguridad en la integración continua es primordial para garantizar la integridad y seguridad de los procesos de desarrollo de software.

En un panorama en el que las ciberamenazas evolucionan continuamente, las medidas proactivas desempeñan un papel crucial para salvaguardar la integridad y la seguridad de las instalaciones Jenkins. Para mitigar los riesgos de exploits contra servidores Jenkinses crucial aplicar rápidamente parches de seguridad y adoptar medidas de seguridad proactivas.

Las fuentes de este artículo incluyen artículos en The Hacker News y SOCRadar.

Resumen
Alerta: Vulnerabilidades en Jenkins abren servidores a ataques RCE
Nombre del artículo
Alerta: Vulnerabilidades en Jenkins abren servidores a ataques RCE
Descripción
Conozca las vulnerabilidades críticas de Jenkins, incluidos los riesgos de ejecución remota de código (RCE). Proteja sus servidores ahora para evitar posibles ataques.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín