🔥 UBND phường Đồng Hòa, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Nam Sơn, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Phù Liễn, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Trần Thành Ngọ, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                    🔥 UBND phường Văn Đẩu, quận Kiến An, thành phố Hải Phòng đã đăng ký tín nhiệm. 🔥                   

Nhiều mã khai thác công khai, hàng chục nghìn máy chủ Jenkins có nguy cơ bị RCE

30/01/2024

Các nhà nghiên cứu phát hiện khoảng 45.000 máy chủ Jenkins được đặt trực tuyến dễ bị tấn công bởi CVE-2023-23897, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã có nhiều mã khai thác (PoC) công khai.

Jenkins là máy chủ tự động hóa nguồn mở phổ biến dành cho CI/CD, cho phép các nhà phát triển tự động hóa các quy trình xây dựng, thử nghiệm và triển khai. Nó có khả năng mở rộng plugin và hỗ trợ các tổ chức trong nhiều lĩnh vực và quy mô khác nhau.

Vào ngày 24 tháng 1 năm 2024, dự án đã phát hành phiên bản 2.442 và LTS 2.426.3 để khắc phục CVE-2023-23897, một lỗ hổng đọc tệp tùy ý có thể dẫn đến việc thực thi các command-line interface (CLI) tùy ý.

Sự cố phát sinh từ một tính năng của CLI cho phép tự động thay thế ký tự @ theo sau là đường dẫn tệp bằng nội dung của tệp, một chức năng nhằm hỗ trợ phân tích cú pháp đối số lệnh.

Tính năng này, được bật theo mặc định, cho phép kẻ tấn công đọc nội dung tệp tùy ý trên hệ thống tệp của Jenkins controller.

Tùy thuộc vào cấp độ quyền của ứng dụng, kẻ tấn công có thể khai thác lỗ hổng để truy cập thông tin nhạy cảm, bao gồm một vài dòng đầu tiên của bất kỳ tệp nào hoặc thậm chí toàn bộ tệp.

Nhà cung cấp phần mềm cho biết rằng CVE-2023-23897 khiến các máy chủ chưa được vá có nguy cơ gặp phải một số cuộc tấn công tiềm ẩn, bao gồm tấn công RCE.

Tùy thuộc vào cấu hình của máy chủ, kẻ tấn công có thể giải mã các dữ liệu bí mật (secret) được lưu trữ, xóa các phần (item) trên máy chủ Jenkins và tải xuống các dữ liệu trong Java heap.

Cuối tuần trước, các nhà nghiên cứu bảo mật đã cảnh báo về nhiều hoạt động khai thác CVE-2023-23897, điều này cho thấy sự gia tăng nguy cơ bị khai thác trong thực tế và rủi ro đáng kể đối với các máy chủ Jenkins chưa được vá.

Hôm qua, dịch vụ giám sát mối đe dọa Shadowserver báo cáo rằng hệ thống quét của họ đã ghi nhận khoảng 45.000 máy chủ Jenkins chưa được vá. Hầu hết các trường hợp dễ bị tấn công nằm ở Trung Quốc (12.000) và Mỹ (11.830), tiếp theo là Đức (3.060), Ấn Độ (2.681), Pháp (1.431) và Vương quốc Anh (1.029).

Số liệu thống kê của Shadowserver là một cảnh báo nghiêm trọng đối với các quản trị viên Jenkins, vì rất có thể tin tặc đã tiến hành dò quét để tìm các mục tiêu tiềm năng và CVE-2023-23897 có thể gây ra hậu quả nghiêm trọng nếu bị khai thác thành công.

Người dùng chưa thể áp dụng các bản cập nhật bảo mật hiện có nên tham khảo bản tin bảo mật của Jenkins để triển khai các biện pháp giảm thiểu và giải pháp thay thế ngay để giảm thiểu các nguy cơ bị tấn công.

Nguồn: bleepingcomputer.com.

scrolltop