En hallazgos recientes, los investigadores de seguridad han descubierto aproximadamente 45,000 instancias de Jenkins expuestas en línea, susceptibles a CVE-2024-23897.
Esta vulnerabilidad crítica de ejecución remota de código (RCE) ha generado preocupaciones debido a la existencia de múltiples exploits de prueba de concepto (PoC) públicos.
¿Qué es Jenkins? Jenkins es un destacado servidor de automatización de código abierto para Integración Continua/Despliegue Continuo (CI/CD).
Los desarrolladores utilizan Jenkins para agilizar los procesos de construcción, prueba y despliegue dentro de organizaciones de diversas misiones y tamaños.
La vulnerabilidad: CVE-2024-23897
El 24 de enero de 2024, Jenkins abordó la vulnerabilidad con el lanzamiento de las versiones 2.442 y LTS 2.426.3. La falla, CVE-2024-23897, se origina en un problema de lectura arbitraria de archivos dentro de la Interfaz de Línea de Comandos (CLI).
Esta falla surge de una característica que reemplaza automáticamente un carácter ‘@’ seguido de una ruta de archivo con el contenido del archivo.
Aunque destinada a facilitar el análisis de argumentos de comandos, esta característica habilitada por defecto abre puertas para que los atacantes lean archivos arbitrarios en el sistema de archivos del controlador de Jenkins.
Dependiendo de los permisos del atacante, esta vulnerabilidad permite el acceso no autorizado a información sensible, comprometiendo potencialmente archivos enteros o solo las líneas iniciales.
El boletín de seguridad describe la exposición a varios ataques, incluido el RCE, mediante la manipulación de las URL de raíz de recursos, cookies de «Recuérdame» o eludir la protección CSRF.
Explotación y riesgo
Los investigadores de seguridad han generado alarmas sobre la disponibilidad de exploits funcionales para CVE-2024-23897. La posibilidad de una explotación en la naturaleza es preocupante, como indican las actividades observadas en las trampas de Jenkins.
Aunque aún no hay evidencia concluyente de una explotación real, el servicio de monitoreo de amenazas de Shadowserver ha identificado alrededor de 45,000 instancias de Jenkins no parcheadas a nivel mundial.
Distribución geográfica de instancias vulnerables
Un mapa de calor proporcionado por Shadowserver revela la concentración de instancias vulnerables, siendo China (12,000) y Estados Unidos (11,830) los más afectados. Alemania, India, Francia y el Reino Unido siguen, enfatizando el alcance global de la vulnerabilidad.
Recomendaciones para administradores de Jenkins
Dada la gravedad de la situación, se insta a los administradores de Jenkins a tomar medidas inmediatas. La aplicación de las actualizaciones de seguridad disponibles es crucial. Para aquellos que no pueden hacerlo de inmediato, el boletín de seguridad de Jenkins ofrece recomendaciones valiosas de mitigación y posibles soluciones temporales para minimizar los riesgos.
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.