Yönetişim ve Risk Yönetimi, Yama Yönetimi
Dünya Çapında Yaklaşık 45.000 Savunmasız Sunucu
Sayın Mihir (MihirBagwe), Prajeet Nair (@prajeetspeaks) •
30 Ocak 2024
Bilgisayar korsanları, geliştirmeyi otomatikleştirmede sürekli entegrasyon ve sürekli teslimat için yazılım geliştiricileri tarafından kullanılan Jenkins sunucusunun savunmasız örneklerini bulmak için interneti tarıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Shadowserver Vakfı’na göre, açık internette dolaşan çok sayıda kamuya açık kavram kanıtlama istismarına sahip, kritik bir uzaktan kod yürütme hatasına açık yaklaşık 45.000 açıkta kalan Jenkins sunucusu var. tweet attı. Savunmasız sunucuların çoğu Çin’de bulunuyor ve ABD ikinci sırada yer alıyor.
Shadowserver Foundation, savunmasız sunucuları arayan tek kuruluş değil. “Bal küplerimiz birisinin toplu tarama yaptığını ve Jenkins CLI uç noktalarından yararlandığını görüyor.” tweet attı bir araştırmacı.
Açık kaynaklı otomasyon sunucusu yazılımını sürdüren Jenkins projesi, 24 Şubat’ta kullanıcıları, saldırganların dosya içeriklerini ele geçirmek için komut satırı ayrıştırıcısındaki bir özellikten yararlanabileceği konusunda uyaran bir güvenlik uyarısı yayınladı.
Özellikle komut satırı arayüzü, ile başlayan bir argüman ayrıştırılırken dosya içeriğini döndüren args4j kütüphanesini kullanır. @ karakter ve ardından bir dosya yolu gelir. Jenkins’in 2.442 ve LTS 2.426.3 sürümleri kusuru düzeltiyor, ancak proje yöneticilerin komut satırı arayüzüne erişimi de devre dışı bırakabileceğini söylüyor.
Zaten sahip olan saldırganlar overall/read izin tüm dosyaları okuyabilir. Bu izne sahip olmayan saldırganlar yine de bir dosyanın ilk birkaç satırını alabilir. Kusur CVE-2023-23897 olarak izleniyor.
Jenkins, CI/CD pazarının tahmini %44’ünü oluşturuyor. Güvenlik araştırmacıları uyardı CVE-2023-23897 için çalışan birden fazla açıktan yararlanma.
Birçok doğrulanmış POC’ler mevcuttur ve saldırganların, açığa çıkan sunucuları tararken çok az değişiklik yaparak veya hiç değişiklik yapmadan komut dosyalarını ele geçirmesine olanak tanır.
Güvenlik açığını keşfeden SonarSource araştırmacıları, “Saldırganlar, Jenkins sırlarını okuyarak bu güvenlik açığından yararlanarak yönetici ayrıcalıklarını artırabilir ve sonunda sunucuda isteğe bağlı kod çalıştırabilir” dedi.
SonarSource, CVE-2024-23898 olarak takip edilen ikinci bir Jenkins güvenlik açığı buldu. Bu, siteler arası bir WebSocket ele geçirme güvenlik açığıdır. Düzeltme eki uygulanmamış Jenkins komut satırı arayüzlerinde kaynak denetimi bulunmadığından, herhangi bir web sitesi potansiyel olarak WebSocket’i kullanarak Jenkins’te sanki kendisi kullanıcıymış gibi eylemler gerçekleştirebilir. Araştırmacılar, yöntemin siteler arası istek sahteciliği gibi bazı güvenlik açıklarının işleyişine benzer olduğunu söyledi.