漏洞通告 | Jenkins CLI 任意文件读取漏洞
原创 微步情报局 微步在线研究响应中心 2024-01-26 14:30
01 漏洞概况****
Jenkins是一个开源的持续集成和持续交付工具,它提供了一个易于使用的界面,可以帮助用户自动化构建、测试和部署软件。微步漏洞团队近日监控到Jenkins任意文件读取漏洞(CVE-2024-23897)情报,攻击者可利用该漏洞通过Jenkins Cli工具读取服务器上任意文件,漏洞利用方式较为简单。
建议受影响的用户尽快参考缓解措施进行处置。
值得一提的是,通过该漏洞读取到完整文件内容的前提是需要攻击者使用的鉴权用户拥有 Overall/Read 权限,而Jenkins默认安装的匿名用户并没有 Overall/Read 权限,所以通过匿名用户只能读取到文件的部分内容。
02 漏洞处置优先级(VPT)
综合处置优先级:
高
|
漏洞编号
|
微步编号
|
XVE-2024-1444
|
|
CVE编号
|
CVE-2024-23897
|
|
漏洞评估
|
危害评级
|
高危
|
|
漏洞类型
|
任意文件读取
|
|
公开程度
|
PoC未公开
|
|
利用条件
|
有权限要求
|
|
交互要求
|
0-click
|
|
威胁类型
|
远程
|
|
利用情报
|
微步已捕获攻击行为
|
暂无
|
03 漏洞影响范围 产品名称Jenkins受影响版本version <= TLS 2.426.2version <= 2.441影响范围万级有无修复补丁有前往X情报社区资产测绘查看影响资产详情:https://x.threatbook.com/v5/survey?q=app%3D”Jenkins”
04 漏洞复现 05 修复方案1、官方修复方案:厂商已发布漏洞修复程序,请根据受影响版本信息,前往以下地址下载对应版本https://www.jenkins.io/download/2、临时修复方案:●如非必要,避免将资产暴露在互联网;●若暂时无法对Jenkins进行升级,可通过配置禁用对CLI的访问可以防止漏洞利用,此解决方法不需要重新启动Jenkins,具体操作可参考:https://github.com/jenkinsci-cert/SECURITY-3314-3315/06 微步产品侧支持情况1.微步威胁感知平台TDP默认支持检测,规则ID为S3100138557、S310013855807 时间线 2024.01.25 微步漏洞团队获取该漏洞相关情报2024.01.26 TDP支持检测2024.01.26 微步发布报告—End—微步漏洞情报订阅服务微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。扫码在线沟通↓↓↓点此电话咨询X 漏洞奖励计划“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。活动详情:https://x.threatbook.com/v5/vulReward