Jenkinsの重大なRCE脆弱性、複数のエクスプロイトがリリース:CVE-2024-23897
(情報源:BleepingComputer、SecurityAffairs)
1月24日にパッチがリリースされたJenkinsの重大な脆弱性、CVE-2024-23897。これを用いた攻撃シナリオは早くも研究者らによって再現され、有効なPoCエクスプロイトが複数公開されている。これにより実際の攻撃でアクターが同脆弱性を悪用し始める可能性が高まっている上、一部の研究者は既に悪用の試みが観測されている旨を報告しているという。
CVE-2024-23897:RCEに繋がり得るCriticalな脆弱性
CVE-2024-23897はJenkinsのコマンドパーサーargs4jのデフォルトの挙動に起因する欠陥で、攻撃者はこれを利用してCLIコマンドを実行できるようになる恐れがある。悪用が成功すれば、認証されていない攻撃者は、「Overall/Read」権限を持つ場合Jenkinsサーバー上の任意のファイル全体を読み取れるようになり、「Overall/Read」権限を持たない場合でもファイルの最初の数行を読み取れるようになるという。
【JenkinsにRCEを可能にし得る重大な脆弱性: CVE-2024-23897】ビルトインCLIにおける任意のファイル読み取りの脆弱性についてJenkinsがアドバイザリを公開。リモートコード実行に繋がり得る悪用パターンも複数共有した。Jenkins 2.442、LTS 2.426.3で修正されているhttps://t.co/NFyt1wuu5B
— Machina Record (@MachinaRecord) January 25, 2024
同脆弱性の発見者であるSonarSourceは、いくつかの条件が満たされている場合、この悪用が特権昇格やリモートコード実行に繋がり得ることについても説明している。またJenkinsのアドバイザリでも、RCEに繋がる攻撃シナリオがいくつか提供されている。
複数のエクスプロイトが既に出回る
CVE-2024-23897に関する情報はSonarSourceやJenkinsから豊富に提供されていることから、研究者らは早くも攻撃シナリオを再現し、有効なPoCエクスプロイトをGitHubに公開し始めている。このため、脅威アクターらがインターネットに公開されたサーバーをスキャンによって探し、こうしたGitHub上のエクスプロイトを使って攻撃を開始することが懸念される。
悪用の試みは既に始まっている可能性
研究者の中には、Jenkinsのハニーポットで攻撃が観測されている旨を報告している者もいることから、ハッカーらによる悪用の試みは既に始まっている可能性が示唆されているという。
26日時点でネット公開されたインスタンスは75,000超存在:今すぐパッチを
セキュリティ研究者のGermán Fernández氏は26日、インターネットに公開されているJenkinsインスタンスは世界に「75,938」存在するとするShodanの調査結果をXに投稿。これによれば、この時点で日本にも「1,371」の公開インスタンスが存在していた模様。
🚨 CVE-2024-23897: Unauthenticated Arbitrary File Read vulnerability could lead to RCE on Jenkins servers.
▪ Exploits are already available.https://t.co/xreXZ88kIZ
— Germán Fernández (@1ZRR4H) January 26, 2024
脆弱性の詳細な情報やPoCが出回っていること、悪用が始まっている可能性もあることなどを踏まえると、ユーザーにはパッチ適用が急がれる。なおこの脆弱性は、Jenkins 2.442およびLTS 2.426.3で修正されている。
【Update:2024年1月30日】
29日夜に脅威モニタリングサービスShadowserverが報じたところによると、28日時点ではCVE-2024-23897に脆弱な公開Jenkinsインタンスがおよそ「45,000」観測されたという。その所在地の多くは中国(12,000)や米国(11,830)、ドイツ(3,060)などだが、日本にも「826」の脆弱なインスタンスが存在することが示されている。
Around 45K exposed Jenkins instances vulnerable to CVE-2024-23897 (Arbitrary file read vulnerability through the CLI can lead to RCE). If you run Jenkins & receive an alert from us make sure to read Jenkins advisory: https://t.co/aPPOHT1WXx
World map: https://t.co/GNVwKGM1R9 pic.twitter.com/Zb9Do5BOi8
— Shadowserver (@Shadowserver) January 29, 2024