Falha crítica no Jenkins explorada por Hackers é adicionada ao catálogo de vulnerabilidades da CISA

Uma vulnerabilidade crítica no servidor de automação de integração contínua/entrega contínua (CI/CD) de código aberto Jenkins foi recentemente incluída no Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Cybersecurity & Infrastructure Security Agency (CISA). Essa falha pode resultar na execução remota de código (RCE) e no roubo de informações confidenciais, representando uma séria ameaça à segurança.

A inclusão no catálogo ocorreu após a Juniper Networks identificar que o grupo de ransomware RansomEXX explorou a vulnerabilidade para invadir a Brontoo Technology Solutions, uma parceira da C-Edge Technologies. O ataque visava a cadeia de suprimentos, impactando principalmente clientes da C-Edge, incluindo bancos rurais regionais e cooperativas na Índia.

Os ataques foram inicialmente detectados em 1º de agosto, com a Juniper Networks divulgando suas descobertas sobre o envolvimento da vulnerabilidade Jenkins em 13 de agosto.

A vulnerabilidade, identificada como CVE-2024-23897, foi corrigida e divulgada pela primeira vez em janeiro de 2024. Ela afeta o Jenkins 2.441 e versões anteriores, bem como o LTS 2.426.2 e versões anteriores. A correção foi implementada nas versões 2.442 e LTS 2.426.3.

Com uma pontuação CVSS de 9,8, a CVE-2024-23897 está enraizada em um recurso do analisador de comando args4j usado pela interface de linha de comando (CLI) do Jenkins. Esse recurso substitui um caractere “@” seguido por um caminho de arquivo em um argumento pelo conteúdo do arquivo, permitindo que invasores com permissões Overall/Read acessem arquivos arbitrários no sistema de arquivos do controlador Jenkins. Mesmo sem essas permissões, é possível ler as primeiras linhas dos arquivos.

A pesquisa conduzida pela equipe de vulnerabilidades da Sonar Source, que descobriu a falha, revelou que a vulnerabilidade pode levar à execução remota de código (RCE) por meio da leitura de segredos do Jenkins e da escalada de privilégios para o nível de administrador.

Nos dias seguintes à divulgação, várias provas de conceito de exploração para RCE foram lançadas para o CVE-2024-23897. O aviso do Jenkins lista cinco possíveis condições de RCE, incluindo métodos que exploram URLs de raiz de recursos, cookies "Lembre-se de mim", cross-site scripting (XSS) por meio de registros de compilação e desvio de proteção contra falsificação de solicitação entre sites (CSRF).

Além disso, a vulnerabilidade pode ser explorada para descriptografar segredos armazenados no Jenkins, excluir itens e fazer o download de Java heap dumps, que podem conter informações confidenciais.

Após a divulgação da vulnerabilidade em janeiro, a fundação Shadowserver relatou que cerca de 45.000 servidores Jenkins expostos à Internet estavam vulneráveis ao CVE-2024-23897. Em 18 de agosto, o Dashboard da Shadowserver ainda indicava que mais de 28.000 servidores permaneciam suscetíveis à exploração.

Via - SCM