Jenkinsの重大なRCE脆弱性、複数のエクスプロイトがリリース:CVE-2024-23897 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Jenkinsの重大なRCE脆弱性、複数のエクスプロイトがリリース:CVE-2024-23897

Threat Report

Silobreaker-CyberAlert

Jenkinsの重大なRCE脆弱性、複数のエクスプロイトがリリース:CVE-2024-23897

山口 Tacos

山口 Tacos

2024.01.29

Jenkinsの重大なRCE脆弱性、複数のエクスプロイトがリリース:CVE-2024-23897

(情報源:BleepingComputerSecurityAffairs

1月24日にパッチがリリースされたJenkinsの重大な脆弱性、CVE-2024-23897。これを用いた攻撃シナリオは早くも研究者らによって再現され、有効なPoCエクスプロイトが複数公開されている。これにより実際の攻撃でアクターが同脆弱性を悪用し始める可能性が高まっている上、一部の研究者は既に悪用の試みが観測されている旨を報告しているという。

CVE-2024-23897:RCEに繋がり得るCriticalな脆弱性

CVE-2024-23897はJenkinsのコマンドパーサーargs4jのデフォルトの挙動に起因する欠陥で、攻撃者はこれを利用してCLIコマンドを実行できるようになる恐れがある。悪用が成功すれば、認証されていない攻撃者は、「Overall/Read」権限を持つ場合Jenkinsサーバー上の任意のファイル全体を読み取れるようになり、「Overall/Read」権限を持たない場合でもファイルの最初の数行を読み取れるようになるという。

同脆弱性の発見者であるSonarSourceは、いくつかの条件が満たされている場合、この悪用が特権昇格やリモートコード実行に繋がり得ることについても説明している。またJenkinsのアドバイザリでも、RCEに繋がる攻撃シナリオがいくつか提供されている。

複数のエクスプロイトが既に出回る

CVE-2024-23897に関する情報はSonarSourceやJenkinsから豊富に提供されていることから、研究者らは早くも攻撃シナリオを再現し、有効なPoCエクスプロイトをGitHubに公開し始めている。このため、脅威アクターらがインターネットに公開されたサーバーをスキャンによって探し、こうしたGitHub上のエクスプロイトを使って攻撃を開始することが懸念される。

悪用の試みは既に始まっている可能性

研究者の中には、Jenkinsのハニーポットで攻撃が観測されている旨を報告している者もいることから、ハッカーらによる悪用の試みは既に始まっている可能性が示唆されているという。

26日時点でネット公開されたインスタンスは75,000超存在:今すぐパッチを

セキュリティ研究者のGermán Fernández氏は26日、インターネットに公開されているJenkinsインスタンスは世界に「75,938」存在するとするShodanの調査結果をXに投稿。これによれば、この時点で日本にも「1,371」の公開インスタンスが存在していた模様。

脆弱性の詳細な情報やPoCが出回っていること、悪用が始まっている可能性もあることなどを踏まえると、ユーザーにはパッチ適用が急がれる。なおこの脆弱性は、Jenkins 2.442およびLTS 2.426.3で修正されている。

【Update:2024年1月30日】

29日夜に脅威モニタリングサービスShadowserverが報じたところによると、28日時点ではCVE-2024-23897に脆弱な公開Jenkinsインタンスがおよそ「45,000」観測されたという。その所在地の多くは中国(12,000)や米国(11,830)、ドイツ(3,060)などだが、日本にも「826」の脆弱なインスタンスが存在することが示されている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ