Les chercheurs ont découvert qu’environ 45 000 instances Jenkins exposées en ligne sont vulnérables à CVE-2024-23897, une faille critique d’exécution de code à distance (RCE) pour laquelle de multiples exploits de preuve de concept (PoC) publics sont en circulation.
Jenkins est un serveur d’automatisation open source de premier plan pour CI / CD, permettant aux développeurs de rationaliser les processus de création, de test et de déploiement. Il offre une prise en charge étendue des plugins et sert des organisations de missions et de tailles variées.
Le 24 janvier 2024, le projet a publié les versions 2.442 et LTS 2.426.3 pour corriger CVE-2024-23897, un problème de lecture de fichier arbitraire qui peut conduire à l’exécution de commandes arbitraires d’interface de ligne de commande (CLI).
Le problème provient de la fonctionnalité de la CLI qui remplace automatiquement un caractère @ suivi d’un chemin de fichier par le contenu du fichier, une fonctionnalité destinée à faciliter l’analyse des arguments de commande.
Cependant, cette fonctionnalité, activée par défaut, permet aux attaquants de lire des fichiers arbitraires sur le système de fichiers du contrôleur Jenkins.
Selon leur niveau d’autorisations, les attaquants peuvent exploiter la faille pour accéder à des informations sensibles, y compris les premières lignes de n’importe quel fichier ou même des fichiers entiers.
Comme l’éditeur de logiciel l’a décrit dans le bulletin de sécurité correspondant, CVE-2024-23897 expose les instances non corrigées à plusieurs attaques potentielles, y compris RCE, en manipulant les URL Racine des ressources, les cookies « Se souvenir de moi » ou le contournement de la protection CSRF.
Selon la configuration de l’instance, les attaquants pourraient déchiffrer les secrets stockés, supprimer des éléments des serveurs Jenkins et télécharger des vidages de tas Java.
À la fin de la semaine dernière, des chercheurs en sécurité ont mis en garde contre de multiples exploits fonctionnels pour CVE-2024-23897, ce qui augmente considérablement le risque pour les serveurs Jenkins non corrigés et augmente la probabilité d’exploitation dans la nature.
Les chercheurs surveillant les pots de miel Jenkins ont observé des activités qui ressemblent à de véritables tentatives d’exploitation, bien qu’il n’y ait pas encore de preuves concluantes.
Aujourd’hui, le service de surveillance des menaces Shadowserver a signalé que ses scanners avaient « attrapé » environ 45 000 instances Jenkins non corrigées, indiquant une surface d’attaque massive.
La plupart des instances vulnérables exposées à Internet se trouvent en Chine (12 000) et aux États-Unis (11 830), suivies de l’Allemagne (3 060), de l’Inde (2 681), de la France (1 431) et du Royaume-Uni (1 029).
Les statistiques de Shadowserver représentent un avertissement terrible pour les administrateurs Jenkins, car les pirates informatiques effectuent très probablement déjà des analyses pour trouver des cibles potentielles, et CVE-2024-23897 peut avoir de graves répercussions s’il est exploité avec succès.
Les utilisateurs qui ne peuvent pas appliquer immédiatement les mises à jour de sécurité disponibles doivent consulter le bulletin de sécurité Jenkins pour obtenir des recommandations d’atténuation et des solutions de contournement potentielles.