Alerta de Segurança: Nova Vulnerabilidade Crítica no ‘Jenkins’

Atualize os Seus Sistemas Imediatamente

Na constante procura por fortalecer a integridade dos sistemas, deparamo-nos com mais um alerta critico: o Jenkins, software de automação CI/CD, enfrenta nove vulnerabilidades de segurança. Entre elas, destaca-se a falha crítica que, se explorada com sucesso, pode resultar em ataques de execução de código remoto (RCE).

A Falha no Jenkins: Uma Análise Detalhada

A vulnerabilidade identificada como CVE-2024-23897 no Jenkins representa uma preocupação crítica que exige ação imediata.

O Jenkins utiliza a biblioteca args4j para analisar argumentos de comando e opções no controlador Jenkins durante o processamento de comandos CLI (Interface de Linha de Comando). O cerne da vulnerabilidade reside numa funcionalidade específica desse analisador de comandos, denominada ‘expandAtFiles’, que substitui um caractere ‘@’ seguido por um caminho de ficheiro num argumento pelo conteúdo do respetivo ficheiro.

A equipa de desenvolvimento esclareceu esta questão no advisory divulgado em 25 de janeiro de 2024, enfatizando que esta falha pode ser explorada para permitir que agentes maliciosos leiam ficheiros arbitrários no sistema de ficheiros do controlador Jenkins. É importante salientar que esta funcionalidade se encontra ativada ‘by default’. Diante esta situação, é imperativo que as organizações adotem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade crítica, visando salvaguardar a integridade e a segurança de seus sistemas.

Indivíduos mal-intencionados com permissão “Overall/Read” podem aceder integralmente aos ficheiros, enquanto aqueles sem essa permissão têm acesso apenas às primeiras linhas, dependendo dos comandos disponíveis na CLI. Até ao momento desta publicação, a equipa de segurança do Jenkins identificou métodos para ler as três primeiras linhas de ficheiros nas versões recentes do Jenkins, sem depender de plugins adicionais.

Fortaleça as suas Defesas e proteja os seus Ativos com a WeSecure

Potenciais Cenários e Ataques:

Além da leitura não autorizada de ficheiros, a equipa de segurança do Jenkins identificou várias explorações potenciais até o momento desta publicação. Esta falha pode ser utilizada para aceder a ficheiros binários que contenham chaves criptográficas, embora sob restrições específicas. Se a extração destes segredos binários for bem-sucedida, Jenkins alerta para a possibilidade de diversos ataques, apresentando um risco acrescido para o panorama da segurança.

Os possíveis ataques incluem:

  • Execução remota de código via URLs de Resource Root
  • Acesso privilegiado via cookie “Remember me”
  • Bypass da proteção CSRF para execução remota de código
  • Desencriptação de segredos armazenados no Jenkins
  • Eliminar qualquer item no Jenkins
  • Download não autorizado de um ‘Java heap dump’
  • Execução remota de código através de ataques XSS (cross-site scripting) armazenados através de registos de compilação

Medidas Imediatas para Proteger os seus Ativos

A solução para a vulnerabilidade identificada na CVE-2024-23897 já foi implementada nas versões Jenkins 2.442 e LTS 2.426.3, através da desativação da funcionalidade de análise de comandos. É fortemente recomendado que, administradores que não consigam realizar atualizações imediatas para essas versões, adotem a prática de desativar o acesso à Interface de Linha de Comando (CLI), medida que se espera prevenir completamente a exploração da vulnerabilidade. Estas ações proativas são cruciais para salvaguardar a integridade dos seus ativos e garantir a segurança contínua do seu ambiente Jenkins.

Próximos Passos - Olhando para o Futuro

Após adotar medidas imediatas para proteger os seus ativos contra ameaças emergentes, é crucial agora olhar para o futuro e implementar estratégias contínuas de cibersegurança. Estar à frente do jogo requer mais do que simples resoluções pontuais; exige uma abordagem proativa e sustentada. Aqui estão algumas práticas recomendadas para garantir uma defesa robusta no cenário digital em constante evolução:

  1. Atualizações e Informações Constantes: Mantenha-se informado sobre as últimas vulnerabilidades e ameaças cibernéticas associadas aos softwares que utiliza. Subscrever blogs/fóruns de segurança, participar em comunidades online e estar atento a notificações de fornecedores são passos cruciais.
  2. Gestão de Versões de Software: Desenvolva e implemente um plano estratégico para a gestão de versões de software. Manter todos os sistemas atualizados com as últimas correções e patches é uma linha de defesa fundamental contra explorações conhecidas.
  3. Auditorias Regulares: Realize auditorias de segurança regulares para avaliar a eficácia das suas práticas de cibersegurança. Identifique áreas de vulnerabilidade e tome medidas corretivas antes que possam ser exploradas.
  4. Programas de Formação e Consciencialização: Invista em programas de formação contínua para a sua equipa, mantendo-os atualizados sobre as últimas técnicas de ataque e práticas de segurança. Conhecimento é uma ferramenta poderosa na prevenção de ameaças.
  5. Desenvolvimento de Políticas de Segurança: Estabeleça políticas de segurança robustas que abranjam áreas como gestão de passwords, acesso a dados sensíveis e práticas de trabalho remoto. Garanta que essas políticas são revistas e atualizadas regularmente.

Ao implementar estas medidas proativas, não estará apenas preparado para enfrentar as ameaças atuais, mas também estará a construir uma base sólida para proteger os seus ativos digitais no futuro. A cibersegurança é uma jornada contínua, e a sua dedicação a práticas de segurança avançadas será a chave para enfrentar os desafios em constante evolução no mundo digital.

Fortaleça as suas Defesas com a WeSecure

Num cenário digital em constante evolução, a segurança das suas operações torna-se uma necessidade cada vez mais imperativa. Na WeSecure, compreendemos a dinâmica desse ambiente em constante transformação e estamos aqui para ajudá-lo nessa jornada. À medida que as ameaças digitais evoluem, a nossa promessa permanece inabalável – mantê-lo informado sobre as últimas tendências e fornecer soluções robustas que garantam a segurança contínua dos seus sistemas.

O mundo da cibersegurança é complexo e está em constante movimento, exigindo uma atenção especial e ação proativa para garantir que esteja sempre um passo à frente das ameaças emergentes. Na WeSecure, estamos comprometidos em ser o seu parceiro confiável, capacitando-o com as ferramentas e conhecimentos necessários para proteger o que é mais importante para si e para os seus ativos digitais.

Ao abraçar a nossa abordagem abrangente, não reforça apenas as suas defesas contra as ameaças atuais, mas também se prepara para os desafios do futuro.

Para obter informações detalhadas sobre como a WeSecure pode personalizar soluções para proteger os seus dados, visite o nosso site em wesecure.pt.

A sua segurança é a nossa prioridade.

Protegemos os seus ativos, onde estão?

Referências:

https://www.jenkins.io/security/advisory/2024-01-24/
https://nvd.nist.gov/vuln/detail/CVE-2024-23897
https://nvd.nist.gov/vuln/detail/CVE-2024-23898
https://nvd.nist.gov/vuln/detail/CVE-2024-23899
https://nvd.nist.gov/vuln/detail/CVE-2024-23905

Para mais informações contacte-nos.

MORADA

Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal

 

TELEFONE

+351 932 942 000 (custo de chamada para rede móvel nacional)

+351 223 744 827(custo de chamada para rede fixa nacional)

 

EMAIL

info@wesecure.pt