Jenkins 关键漏洞CVE-2024-23897的多个概念验证代码 (PoC)已发布

研究人员警告说，针对最近披露的 Jenkins 关键漏洞CVE-2024-23897的多个概念验证代码 (PoC)已被公开。

官方已发布安全更新以修复该漏洞，Jenkins 官方评级为“严重”级。安全专家警告大规模的野外攻击即将到来，建议受影响的服务器尽快修补。

Jenkins 是最流行的开源自动化服务器，它由 CloudBees 和 Jenkins 社区维护。该自动化服务器支持开发人员构建、测试和部署他们的应用程序，它在全球拥有数十万个活跃安装，拥有超过 100 万用户。

该开源平台的维护者已经解决了九个安全漏洞，其中包括一个被追踪为 CVE-2024-23897 的严重漏洞，该漏洞可能导致远程代码执行 (RCE)。Sonar的研究员 Yaniv Nizry 报告了该漏洞， 并撰写了对该问题的详细分析（https://www.sonarsource.com/blog/excessive-expansion-uncovering-critical-security-vulnerabilities-in-jenkins/）。

Jenkins 具有内置 命令行界面 (CLI)，可从脚本或 shell 环境访问平台。该开源软件使用 args4j 库 来解析 Jenkins 控制器上的 CLI 命令参数和选项。解析器使用一种功能，将参数中后跟文件路径的“@”字符替换为文件内容（“expandAtFiles”）。此功能默认启用，Jenkins 2.441 及更早版本、LTS 2.426.2 及更早版本不会禁用它。

攻击者可以滥用 Jenkins 控制器进程的默认字符编码来读取控制器文件系统上的任意文件。

具有“总体/读取”权限的攻击者可以读取整个文件，而没有该权限的攻击者可以根据 CLI 命令读取文件的前三行。

维护者指出，利用此漏洞可以读取包含用于各种 Jenkins 功能的加密密钥的二进制文件，即使有一些限制。

受欢迎的网络安全研究员 Florian Roth 警告称，一些武器化的 PoC 漏洞已经被发布。

研究人员 German Fernandez 警告称，该漏洞已被大规模利用，通过 Shodan 查询，有超过 75000 个面向互联网的实例。

“漏洞PoC 代码”的出现将导致攻击者开始在野外攻击中利用该漏洞。

参考资料：https://securityaffairs.com/158251/hacking/cve-2024-23897-poc-exploits.html