Jenkins 重大漏洞 CVE-2024-23897 概述

关键要点

• Jenkins CI/CD 自动化服务器的一个严重漏洞被纳入 CISA 已知利用漏洞目录，可能导致远程代码执行（RCE）和敏感信息泄露。
• 此漏洞首次被恶意软件团体 RansomEXX 利用，对多家印度农村和合作银行造成了供应链攻击。
• 漏洞 CVE-2024-23897 被评定为 CVSS 9.8，影响 Jenkins 2.441 及更早版本，并已在更新版本中修复。

在开源的 Jenkins持续集成/持续交付（CI/CD）自动化服务器中，发现了一个严重的漏洞，该漏洞可能导致远程代码执行（RCE）和敏感信息被盗。该漏洞已经被 。

这一漏洞的发现源于 ，RansomEXX勒索软件团伙利用这一弱点渗透到 Brontoo Technology Solutions，后者是 C-Edge Technologies的合作伙伴，此次针对 C-Edge 客户的供应链攻击主要影响印度的一些合作社和地区农村银行。

这些攻击首次被发现于 8 月 1 日，Juniper Networks 在 8 月 13 日发布了关于 Jenkins 漏洞作用的报告。

该漏洞被追踪为 ，最初于 2024 年 1 月 ，影响 Jenkins 2.441 及更早版本，以及 LTS 2.426.2 及更早版本。该漏洞在版本 2.442 和 LTS 2.426.3 中已得到修复。

CVE-2024-23897 漏洞概述

CVE-2024-23897 的 CVSS 分数为 9.8，源于 Jenkins 内置命令行接口（CLI）中使用的 args4j命令解析器的特性。该特性允许用包含在某参数中的文件路径前的“@”字符替换为文件内容。

根据 Jenkins 的安全通告，此瑕疵使得具有 Overall/Read 权限的攻击者能够读取 Jenkins控制器文件系统中任意文件的全部内容，而未获得该权限的用户只能查看文件的前几行。

然而，来自 Sonar Source 的 Vulnerability Research Team 的研究表明，该漏洞最终可能导致 RCE，通过读取 Jenkins 秘密并提升为管理员权限从而实现。

在漏洞披露后的几天里，关于 Jenkins CVE-2024-23897 的多个 RCE 利用的概念证明已经发布。Jenkins的安全通告列出了包括通过资源根 URL、"记住我" cookies、构建日志中的跨站脚本（XSS）和跨站请求伪造（CSRF）保护绕过等五种可能的 RCE情况。

此外，攻击者还可以利用该漏洞解密存储在 Jenkins 中的机密，删除 Jenkins 中的任何项目，并下载 Jenkins 控制进程或任何代理进程的 Java 堆转储，这可能包含敏感信息。

在漏洞公开后，Shadowserver 基金会报告称，近 45,000 个暴露在互联网中的 Jenkins 服务器存在 CVE-2024-23897漏洞。截至 8 月 18 日， 显示仍有超过 28,000 个服务器处于易受攻击状态。