警惕！针对Jenkins RCE 严重缺陷的漏洞已发布，请立即修补

最近披露的Jenkins 关键漏洞CVE-2024-23897的多个概念验证 (PoC) 漏洞已发布。研究人员警告说，针对最近披露的 Jenkins 关键漏洞CVE-2024-23897的多个概念验证 (PoC) 漏洞已被公开。

Jenkins 是最流行的开源自动化服务器，它由 CloudBees 和 Jenkins 社区维护。该自动化服务器支持开发人员构建、测试和部署他们的应用程序，它在全球拥有数十万个活跃安装，拥有超过 100 万用户。

该开源平台的维护者已经解决了九个安全漏洞，其中包括一个被追踪为 CVE-2024-23897 的严重缺陷，该缺陷可能导致远程代码执行 (RCE)。Sonar的研究员 Yaniv Nizry 报告了该漏洞，并撰写了对该问题的详细分析。

Jenkins具有内置 命令行界面 (CLI)  ，可从脚本或 shell 环境访问平台。该开源软件使用 args4j 库 来解析 Jenkins 控制器上的 CLI 命令参数和选项。解析器使用一种功能，将参数中文件路径的“@”字符替换为文件内容（“expandAtFiles”）。此功能默认启用，Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用它。

攻击者可以滥用 Jenkins 控制器进程的默认字符编码来读取控制器文件系统上的任意文件。

具有“总体/读取”权限的攻击者可以读取整个文件，而没有该权限的攻击者可以根据 CLI 命令读取文件的前三行。

维护者指出，利用此缺陷可以读取包含用于各种 Jenkins 功能的加密密钥的二进制文件，即使有一些限制。

第二个缺陷被追踪为 CVE-2024-23898，是一个跨站点 WebSocket 劫持问题，攻击者可以通过诱骗用户单击恶意链接来执行任意 CLI 命令。

网络浏览器中现有的保护策略应该可以减轻此错误带来的风险，但由于这些策略缺乏普遍执行，这种风险仍然存在。

SonarSource 于 2023 年 11 月 13 日向 Jenkins 安全团队报告了这些缺陷，并在接下来的几个月内帮助验证了修复程序。

2024 年 1 月 24 日，Jenkins 发布了版本 2.442 和 LTS 2.426.3 针对这两个缺陷的修复程序，并 发布了一份公告 ，分享了各种攻击场景和利用途径，以及针对无法应用安全性的修复说明和可能的解决方法更新。

可用的漏洞

现在有了有关 Jenkins 缺陷的大量信息，许多研究人员重现了一些攻击场景，并创建了在 GitHub 上发布的有效 PoC 漏洞。

PoC 针对 CVE-2024-23897，攻击者可以在未修补的 Jenkins 服务器上远程执行代码。

其中许多 PoC 已经过验证，因此扫描暴露服务器的攻击者可以获取脚本并在进行最少修改或无需修改的情况下进行尝试。

一些研究人员报告说，他们的 Jenkins 蜜罐已经捕获了野外活动，这表明黑客已经开始利用这些漏洞。