45.000 server Jenkins sono ancora vulnerabili dopo il rilascio della patch correttiva
È diventata preoccupante l’esposizione di decine di migliaia di installazioni pubbliche dei server Jenkins a una vulnerabilità critica, recentemente scoperta e identificata come CVE-2024-23897. Secondo le scansioni effettuate dalla società di sicurezza informatica Shadowserver, circa 45.000 istanze di questo rinomato server di automazione CI/CD risultano vulnerabili a tale falla, la cui divulgazione è avvenuta il 24 gennaio.
La distribuzione geografica delle vulnerabilità è concentrata principalmente negli Stati Uniti e in Cina, con rispettivamente 15.806 e 11.955 server esposti. Altri paesi interessati includono l’India, la Germania, la Repubblica di Corea, la Francia e il Regno Unito. Ciò evidenzia la portata globale di questa problematica, richiamando l’attenzione sulla necessità di un intervento rapido da parte degli amministratori di sistema.
L’allarme si è intensificato ulteriormente con la pubblicazione di diversi exploit il 26 gennaio, a soli due giorni dalla divulgazione coordinata di Jenkins e di Yaniv Nizry, il ricercatore di Sonar che ha scoperto la vulnerabilità. Nonostante l’esistenza di queste minacce concrete, a quasi una settimana dalla divulgazione molti amministratori non hanno ancora applicato le necessarie patch per correggere la vulnerabilità critica. Questo ritardo apre una finestra di rischio in cui gli attaccanti potrebbero sfruttare con successo la vulnerabilità, anche perché gli exploit dimostrativi sono pubblicamente accessibili.
La natura della vulnerabilità, che ha una valutazione di gravità pari a 9.8 su 10, è legata a una caratteristica dell’interfaccia a riga di comando (CLI) di Jenkins, attiva per impostazione predefinita nelle versioni fino alla 2.441. La vulnerabilità consente agli attaccanti di leggere file arbitrari, esponendo dati sensibili come chiavi SSH, segreti binari, credenziali, codice sorgente e artefatti di compilazione.
Per mitigare il rischio, gli amministratori sono invitati a disabilitare temporaneamente la CLI o applicare immediatamente le patch fornite. Inoltre, dovrebbero anche assicurarsi che tre impostazioni chiave non siano abilitate per evitare di dare a tutti gli utenti non autenticati i permessi di lettura. Se l’opzione Allow anonymous read access è spuntata mentre la modalità di autorizzazione è impostata su logged-in users can do anything, qualsiasi utente non autenticato ottiene il permesso di lettura generale, consentendogli di leggere i file a suo piacimento. Lo stesso varrebbe per la modalità legacy. Anche l’opzione Allow users to sign up consente a chiunque possa accedere all’istanza Jenkins di creare un account, sebbene quando questa casella è selezionata venga visualizzato un chiaro avviso che informa l’amministratore dei rischi per la sicurezza.