◆概要
2024 年 1 月に公開された、任意のファイルの読み取りが可能となる Jenkins の脆弱性に対するエクスプロイトコードが公開されています。脆弱性を悪用された場合は、Jenkins が稼働している OS に侵入されてしまう可能性があります。ソフトウェアのバージョンのアップデート、または機能の制限により対策してください。
◆分析者コメント
ソフトウェアの性質的に、インターネットへの公開が好ましくないソフトウェアですが、日本でも 1,000 台近い Jenkins サーバがインターネット上に公開されているという調査結果があるため、Jenkins サーバを運用している場合は脆弱性のみではなくアクセス設定の確認を推奨します。Jenkins は利用者数が多く、脆弱性が発見された場合は攻撃者により活発に悪用される可能性が高いため、脆弱性情報が公開された場合は早急な対策が求められます。
◆深刻度(CVSS)
[CVSS v3.1]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-23897&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
Jenkins のバージョン 2.441 およびそれよりも古いバージョンが当該脆弱性の影響を受けます。LTS 版の場合は、2.426.2 およびそれよりも古いバージョンが当該脆弱性の影響を受けます。
◆解説
開発ツールとして世界的に利用されている Jenkins に、サーバ内部の任意のファイルが読み取り可能となる脆弱性が報告されています。
脆弱性は、Jenkins サーバをコマンドラインで制御するためのインターフェースに存在します。脆弱性が存在する Jenkins では、コマンドラインインターフェース機能での文字列の解釈に args4j ライブラリを用いており、当該ライブラリの「文字列中のファイルパスをファイルの内容に置き換える機能」が初期設定で有効化されているバージョンが使用されています。脆弱なバージョンの Jenkins では、非認証ユーザでもコマンドラインインターフェース機能へのアクセスが可能であるため、当該機能の悪用により任意のファイルが部分的または全体的に読み取り可能となります。脆弱性の悪用により読み取れるファイルの情報量は、Jenkins サーバへのアクセス権限に依存しており、アクセス権限が低い場合は 2 - 3 行程度、十分なアクセス権限がある場合はファイルのすべての内容が閲覧可能であると報告されています。
◆対策
Jenkins のバージョンを 2.441 より新しいバージョンにアップグレードしてください。LTS 版の場合は、2.426.2 より新しいバージョンにアップグレードしてください。Jenkins 公式からは、コマンドラインインターフェース機能へのアクセス制御による対策も可能であるとされています。
◆関連情報
[1] Jenkins 公式
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
[2] X(旧Twitter)
https://twitter.com/Shadowserver/status/1751964510955372855
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-23897
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23897
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Jenkins が稼働している OS 内の任意のファイルを部分的に読み込むエクスプロイトコードが公開されています。
GitHub - binganao/CVE-2024-23897
https://github.com/binganao/CVE-2024-23897/blob/main/poc.py
エクスプロイトコードは、Jenkins サーバへの認証に成功していないアカウントとして、脆弱性の悪用を試行します。
#--- で始まる行は執筆者によるコメントです。
2024 年 1 月に公開された、任意のファイルの読み取りが可能となる Jenkins の脆弱性に対するエクスプロイトコードが公開されています。脆弱性を悪用された場合は、Jenkins が稼働している OS に侵入されてしまう可能性があります。ソフトウェアのバージョンのアップデート、または機能の制限により対策してください。
◆分析者コメント
ソフトウェアの性質的に、インターネットへの公開が好ましくないソフトウェアですが、日本でも 1,000 台近い Jenkins サーバがインターネット上に公開されているという調査結果があるため、Jenkins サーバを運用している場合は脆弱性のみではなくアクセス設定の確認を推奨します。Jenkins は利用者数が多く、脆弱性が発見された場合は攻撃者により活発に悪用される可能性が高いため、脆弱性情報が公開された場合は早急な対策が求められます。
◆深刻度(CVSS)
[CVSS v3.1]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-23897&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
Jenkins のバージョン 2.441 およびそれよりも古いバージョンが当該脆弱性の影響を受けます。LTS 版の場合は、2.426.2 およびそれよりも古いバージョンが当該脆弱性の影響を受けます。
◆解説
開発ツールとして世界的に利用されている Jenkins に、サーバ内部の任意のファイルが読み取り可能となる脆弱性が報告されています。
脆弱性は、Jenkins サーバをコマンドラインで制御するためのインターフェースに存在します。脆弱性が存在する Jenkins では、コマンドラインインターフェース機能での文字列の解釈に args4j ライブラリを用いており、当該ライブラリの「文字列中のファイルパスをファイルの内容に置き換える機能」が初期設定で有効化されているバージョンが使用されています。脆弱なバージョンの Jenkins では、非認証ユーザでもコマンドラインインターフェース機能へのアクセスが可能であるため、当該機能の悪用により任意のファイルが部分的または全体的に読み取り可能となります。脆弱性の悪用により読み取れるファイルの情報量は、Jenkins サーバへのアクセス権限に依存しており、アクセス権限が低い場合は 2 - 3 行程度、十分なアクセス権限がある場合はファイルのすべての内容が閲覧可能であると報告されています。
◆対策
Jenkins のバージョンを 2.441 より新しいバージョンにアップグレードしてください。LTS 版の場合は、2.426.2 より新しいバージョンにアップグレードしてください。Jenkins 公式からは、コマンドラインインターフェース機能へのアクセス制御による対策も可能であるとされています。
◆関連情報
[1] Jenkins 公式
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
[2] X(旧Twitter)
https://twitter.com/Shadowserver/status/1751964510955372855
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-23897
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23897
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Jenkins が稼働している OS 内の任意のファイルを部分的に読み込むエクスプロイトコードが公開されています。
GitHub - binganao/CVE-2024-23897
https://github.com/binganao/CVE-2024-23897/blob/main/poc.py
エクスプロイトコードは、Jenkins サーバへの認証に成功していないアカウントとして、脆弱性の悪用を試行します。
#--- で始まる行は執筆者によるコメントです。
