Acerca de CVE-2024-23897
Jenkins es un servidor de automatización de código abierto basado en Java ampliamente utilizado que ayuda a los desarrolladores a crear, probar e implementar aplicaciones, permitiendo la integración continua (CI) y la entrega continua (CD) .
CVE-2024-23897 es una vulnerabilidad de lectura de archivos arbitraria en la interfaz de línea de comandos (CLI) integrada de Jenkins que podría permitir que un actor de amenazas no autenticado con permiso general/lectura lea archivos arbitrarios en el sistema de archivos del controlador de Jenkins. Aquellos sin permiso General/Lectura pueden leer las primeras líneas de los archivos.
«Esta vulnerabilidad surge del uso de la biblioteca args4j para analizar argumentos y opciones de comando en el controlador Jenkins», dijo Maxime Paillé, probador de penetración del Ministerio de Ciberseguridad y Tecnología Digital de Quebec.
La vulnerabilidad también se puede explotar para leer archivos binarios que contengan claves criptográficas utilizadas para varias funciones de Jenkins (con algunas limitaciones), afirma. El acceso a esta información sensible podría dar lugar a:
- Ejecución remota de código a través de URL raíz de recursos
- Ejecución remota de código mediante la cookie «Recordarme»
- Ejecución remota de código mediante ataques de secuencias de comandos entre sitios (XSS) almacenados a través de registros de compilación
- Ejecución remota de código mediante omisión de protección CSRF
- Descifrado de secretos almacenados en Jenkins
- Eliminación de cualquier elemento en Jenkins
- Descarga del volcado del montón de Java
Jenkins también reveló CVE-2024-23898, una vulnerabilidad de secuestro de WebSocket entre sitios de alta gravedad que podría permitir a un actor de amenazas ejecutar comandos CLI arbitrarios engañando a una víctima para que haga clic en un enlace malicioso.
Ambas vulnerabilidades han sido reportadas (y descritas ) por el equipo de investigación de vulnerabilidades de SonarSource.
Los exploits PoC son públicos
Las PoC para CVE-2024-23897 se han hecho públicas (1, 2) y los atacantes podrían aprovecharlas para comprometer servidores Jenkins sin parches.
También ha habido informes de que la vulnerabilidad se está explotando en la naturaleza.
Ambas vulnerabilidades se han solucionado en Jenkins 2.442 y LTS 2.426.3, por lo que se insta a los usuarios de Jenkins a aplicar el parche lo antes posible. También hay soluciones alternativas disponibles.
Fuente y redacción: helpnetsecurity.com