Các nhà nghiên cứu phát hiện khoảng 45.000 máy chủ Jenkins được đặt trực tuyến dễ bị tấn công bởi CVE-2023-23897, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã có nhiều mã khai thác (PoC) công khai.
Jenkins là máy chủ tự động hóa nguồn mở phổ biến dành cho CI/CD, cho phép các nhà phát triển tự động hóa các quy trình xây dựng, thử nghiệm và triển khai. Nó có khả năng mở rộng plugin và hỗ trợ các tổ chức trong nhiều lĩnh vực và quy mô khác nhau.
Vào ngày 24 tháng 1 năm 2024, dự án đã phát hành phiên bản 2.442 và LTS 2.426.3 để khắc phục CVE-2023-23897, một lỗ hổng đọc tệp tùy ý có thể dẫn đến việc thực thi các command-line interface (CLI) tùy ý.
Sự cố phát sinh từ một tính năng của CLI cho phép tự động thay thế ký tự @ theo sau là đường dẫn tệp bằng nội dung của tệp, một chức năng nhằm hỗ trợ phân tích cú pháp đối số lệnh.
Tính năng này, được bật theo mặc định, cho phép kẻ tấn công đọc nội dung tệp tùy ý trên hệ thống tệp của Jenkins controller.
Tùy thuộc vào cấp độ quyền của ứng dụng, kẻ tấn công có thể khai thác lỗ hổng để truy cập thông tin nhạy cảm, bao gồm một vài dòng đầu tiên của bất kỳ tệp nào hoặc thậm chí toàn bộ tệp.
Nhà cung cấp phần mềm cho biết rằng CVE-2023-23897 khiến các máy chủ chưa được vá có nguy cơ gặp phải một số cuộc tấn công tiềm ẩn, bao gồm tấn công RCE.
Tùy thuộc vào cấu hình của máy chủ, kẻ tấn công có thể giải mã các dữ liệu bí mật (secret) được lưu trữ, xóa các phần (item) trên máy chủ Jenkins và tải xuống các dữ liệu trong Java heap.
Cuối tuần trước, các nhà nghiên cứu bảo mật đã cảnh báo về nhiều hoạt động khai thác CVE-2023-23897, điều này cho thấy sự gia tăng nguy cơ bị khai thác trong thực tế và rủi ro đáng kể đối với các máy chủ Jenkins chưa được vá.
Hôm qua, dịch vụ giám sát mối đe dọa Shadowserver báo cáo rằng hệ thống quét của họ đã ghi nhận khoảng 45.000 máy chủ Jenkins chưa được vá. Hầu hết các trường hợp dễ bị tấn công nằm ở Trung Quốc (12.000) và Mỹ (11.830), tiếp theo là Đức (3.060), Ấn Độ (2.681), Pháp (1.431) và Vương quốc Anh (1.029).
Số liệu thống kê của Shadowserver là một cảnh báo nghiêm trọng đối với các quản trị viên Jenkins, vì rất có thể tin tặc đã tiến hành dò quét để tìm các mục tiêu tiềm năng và CVE-2023-23897 có thể gây ra hậu quả nghiêm trọng nếu bị khai thác thành công.
Người dùng chưa thể áp dụng các bản cập nhật bảo mật hiện có nên tham khảo bản tin bảo mật của Jenkins để triển khai các biện pháp giảm thiểu và giải pháp thay thế ngay để giảm thiểu các nguy cơ bị tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Một lỗ hổng bảo mật hiện đã được vá trong Microsoft Outlook có thể bị kẻ tấn công khai thác để truy cập các mật khẩu đã được hash NT LAN Manager (NTLM) v2 khi mở một tệp độc hại.
Tín nhiệm mạng | Cisco đang cảnh báo rằng một số sản phẩm Contact Center Solutions và Unified Communications Manager (CM) của họ dễ bị tấn công bởi một lỗ hổng thực thi mã từ xa nghiêm trọng.
Tín nhiệm mạng | Những người duy trì phần mềm tự động hóa quá trình tích hợp và triển khai liên tục mã nguồn mở Jenkins đã giải quyết 9 lỗ hổng bảo mật, bao gồm một lỗi nghiêm trọng có thể bị khai thác để RCE.
Tín nhiệm mạng | Vào ngày đầu tiên của cuộc thi Pwn2Own Automotive 2024, các nhà nghiên cứu bảo mật đã hack thành công một Tesla Modem và thu về tổng số tiền thưởng trị giá 722.500 USD cho 3 lần khai thác trùng lặp và 24 lần khai thác zero-day khác nhau.
Tín nhiệm mạng | Hơn 5.300 máy chủ GitLab tiếp xúc với internet có nguy cơ bị khai thác CVE-2023-7028, một lỗ hổng cho phép chiếm đoạt tài khoản không yêu cầu bất kỳ tương tác của người dùng mà GitLab đã cảnh báo vào đầu tháng này.
Tín nhiệm mạng | Hai package độc hại trên hệ thống quản lý package NPM được phát hiện đã lợi dụng GitHub để lưu trữ các khóa SSH được mã hóa Base64 bị đánh cắp từ hệ thống của các nhà phát triển.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
