45.000 servidores Jenkins expuestos a ataques RCE mediante exploits públicos

Los investigadores han encontrado aproximadamente 45.000 instancias de Jenkins expuestas en línea que son vulnerables a CVE-2024-23897, un fallo crítico de ejecución remota de código (RCE) para el que circulan numerosos exploits públicos de prueba de concepto (PoC).

Jenkins es un servidor de automatización de código abierto líder para CI/CD, que permite a los desarrolladores agilizar los procesos de compilación, prueba y despliegue. Ofrece un amplio soporte de plugins y está dirigido a organizaciones de diversas misiones y tamaños.

El 24 de enero de 2024, el proyecto publicó las versiones 2.442 y LTS 2.426.3 para corregir CVE-2024-23897, un problema de lectura arbitraria de archivos que puede conducir a la ejecución de comandos arbitrarios de la interfaz de línea de comandos (CLI).

El problema tiene su origen en la función de la CLI que sustituye automáticamente un carácter @ seguido de una ruta de archivo por el contenido del archivo, una función diseñada para facilitar el análisis de los argumentos de los comandos.

Sin embargo, esta característica, activada por defecto, permite a los atacantes leer archivos arbitrarios en el sistema de archivos del controlador Jenkins.

Dependiendo de su nivel de permisos, los atacantes pueden explotar el fallo para acceder a información sensible, incluyendo las primeras líneas de cualquier archivo o incluso archivos enteros.

Según describe el proveedor de software en el boletín de seguridad correspondiente, CVE-2024-23897 expone las instancias no parcheadas a varios ataques potenciales, como RCE, manipulación de URL raíz de recursos, cookies «Recuérdame» o elusión de la protección CSRF.

Dependiendo de la configuración de la instancia, los atacantes podrían descifrar secretos almacenados, eliminar elementos de los servidores Jenkins y descargar volcados de heap de Java.

A finales de la semana pasada, los investigadores de seguridad informaron de la existencia de varios exploits de trabajo para CVE-2024-23897, lo que aumenta significativamente el riesgo para los servidores Jenkins sin parchear y aumenta la probabilidad de explotación en la naturaleza.

Los investigadores que vigilan los honeypots de Jenkins han observado actividad que se asemeja a auténticos intentos de explotación, aunque todavía no hay pruebas concluyentes.

Hoy, el servicio de monitorización de amenazas Shadowserver ha informado de que sus escáneres han «detectado» alrededor de 45.000 instancias de Jenkins sin parches, lo que indica una superficie de ataque masiva.

La mayoría de los casos vulnerables expuestos a Internet se encuentran en China (12.000) y Estados Unidos (11.830), seguidos de Alemania (3.060), India (2.681), Francia (1.431) y Reino Unido (1.029).

Las estadísticas de Shadowserver son una seria advertencia para los administradores de Jenkins, ya que es muy probable que los hackers ya estén realizando escaneos en busca de objetivos potenciales, y CVE-2024-23897 puede tener graves repercusiones si se explota con éxito.

Los usuarios que no puedan aplicar inmediatamente las actualizaciones de seguridad disponibles deberían consultar el Boletín de Seguridad de Jenkins para obtener recomendaciones de mitigación y posibles soluciones.