Jenkins açık kaynaklı otomasyon sunucusundaki kritik bir güvenlik açığı, ilk ifşasından yedi ay sonra bile hala aktif olarak istismar ediliyor.
Jenkins, yazılım geliştiricilerinin sürekli entegrasyon ve sürekli teslimat (CI/CD) sırasında uygulamaları oluşturmak, test etmek ve dağıtmak için kullandığı yirmi yıllık, açık kaynaklı, genişletilebilir bir araçtır. 2022’de 300.000 bilinen kuruluma ulaştı ve bu da, geliştiricilerine göreonu dünyanın en popüler otomasyon sunucusu yaptı.
Ocak ayında, Jenkins ekibi, yetkisiz saldırganların denetleyici dosya sistemindeki keyfi dosyaları okumasına izin verebilecek bir komut satırı arayüzü (CLI) yol geçişi güvenlik açığını ortaya çıkardı. Salt okunur nitelikte olmasına rağmen, sorun bir saldırganın ayrıcalıkları artırmada ve sonunda kod yürütme ayrıcalıkları elde etmede yardımcı olan şifreleme anahtarlarını toplamasına izin verebilir. CVE-2024-23897 olarak etiketlenen bu güvenlik açığı, Ortak Güvenlik Açığı Puanlama Sistemi’nde (CVSS) 10 üzerinden “kritik” 9,8 puan aldı.
“Jenkins’iniz tehlikeye girerse, bu oldukça büyük bir sorundur, çünkü Jenkins iş yazılımınızın merkezindedir,” diye açıklıyor Sonar’ın güvenlik açığı araştırmacısı ve hatayı ilk keşfeden kişi olan Yaniv Nizry. “Saldırganlar üretime gizlice girebilir veya kodlarını enjekte edebilir ve daha fazla tutunmak için bunu kullanabilecekleri birçok yol vardır. Çok yıkıcı olabilir.”
Ve bu hafta bu açığı kendi verilerine ekleyen Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) göre, bugün de aktif olarak sömürülmeye devam ediyor. Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuRisk altında olan Federal Sivil Yürütme Organı (FCEB) kurumlarının artık önlem almak için iki haftası var.
CVE-2024-23897’nin Zaten Verdiği Zarar
Jenkins geliştirme ekibi, güvenlik açığını kamuoyuna açıkladığı gün bir rapor yayınladı güvenlik düzeltmesi sekiz olası istismar yolu hakkında detaylı bilgilerle birlikte.
Görünüşe göre birçok geliştirici düzeltmeyi uygulamadı. Haberin duyulmasından beş gün sonra, Shadowserver Foundation Altı kıtada 45.000 maruz kalmış örnek.
Hem beyaz hem de siyah şapkalı bilgisayar korsanları, Jenkins’in tavsiyelerinde belirttiği bazı açıkları hemen test etmeye başladılar. Sömürüye dair kanıt haberin yayınlanmasından 24 saat sonra ortaya çıktı. 48 saat sonra, çoklu, çalışma Tehlikeye girme kanıtları (PoC) herkesin erişimine açık Web’de yayınlandı ve bu sayede bilgisayar korsanlarının, herkesin erişebildiği Jenkins örneklerini en az çabayla istismar edebilmeleri sağlandı.
İki ay sonra Trend Micro, CVE-2024-23897 istismarlarının kullanıldığına dair kanıt buldu Alındı ve satıldı tehdit aktörleri arasında. O zamana kadar, Shadowserver verilerine göre, yüzlerce ilgili saldırı öncelikli olarak Güney Afrika’da yoğunlaşan hedefleri vurmuştu.
O zamandan beri daha büyük ölçekli saldırılar gerçekleşti. Yaz boyunca, Intel Broker kimlik bilgilerini elde etmek için CVE-2024-23897’yi kullandı ve ardından bunu kullandı kurumsal bir GitHub hesabını ihlal etmeközel depolara erişir ve orada barındırılan kaynak kodunu ve diğer hassas ve tescilli verileri çalar. Ardından, RansomExx bunu dijital ödeme sağlayıcısı Brontoo Technology Solutions’daki BT sistemlerini kilitlemek için kullandı. Hint bankalarında dalgalanma etkisi.
Nizry’nin vurguladığı gibi, Jenkins kullanıcılarının daha önce yama yapmamış olmaları veya henüz yapmamışlarsa hemen yapmamaları için hiçbir geçerli neden yok.
“Güvenlik araştırmalarında oldukça tekrarlanan bir şey var: Üçüncü taraf bir paket kullandığınızda, özellikle eski bir paketse, bunun gerçekten çok büyük bir etkisi olabilir,” diyor. “Belki geçmişte bazı yararlı özellikleri vardı ve şimdi, aniden, bu özellik bir güvenlik sorunu haline gelebilir.”