Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

45,000 Servidores Jenkins Expuestos por Ciberataque

Escrito por Zoilijee Quero | Jan 31, 2024 5:00:00 PM

Jenkins es un software de código abierto que permite automatizar procesos de desarrollo, prueba y despliegue de aplicaciones, facilitando la integración continua (CI) y la entrega continua (CD). Jenkins se ejecuta en un servidor que actúa como controlador y se comunica con otros agentes que realizan las tareas asignadas. Sin embargo, este servidor puede ser vulnerable a ataques de ejecución remota de código (RCE), que consisten en aprovechar una vulnerabilidad para ejecutar comandos arbitrarios en el sistema objetivo.

Recientes descubrimientos en la industria han sacado a la luz una alarmante vulnerabilidad: alrededor de 45,000 servidores Jenkins se encuentran en riesgo de ataques de ejecución remota de código (RCE) a través del uso de exploits que son de dominio público.

 

La Vulnerabilidad de Jenkins

 

 

Investigadores de seguridad han descubierto alrededor de 45,000 casos de servidores Jenkins en línea que son vulnerables a CVE-2024-23897, una grave vulnerabilidad de ejecución remota de código (RCE) para la cual existen múltiples pruebas de concepto (PoC) públicas disponibles.

Jenkins es un destacado servidor de automatización de código abierto utilizado en CI/CD (Integración Continua/Entrega Continua) que permite a los desarrolladores optimizar sus flujos de trabajo de creación, prueba e implementación. Ofrece un amplio conjunto de complementos y es utilizado por organizaciones de distintos tamaños y objetivos.

El 24 de enero de 2024, el proyecto Jenkins lanzó las versiones 2.442 y LTS 2.426.3 para abordar CVE-2024-23897, que es un problema relacionado con la lectura de archivos arbitrarios que puede llevar a la ejecución de comandos arbitrarios a través de la interfaz de línea de comandos (CLI).

 

Te podrá interesar leer:  Identificando vulnerabilidades: El poder de las CVE



Este problema se origina en la característica de la CLI que automáticamente reemplaza un carácter "@" seguido de una ruta de archivo con el contenido del archivo, una función diseñada para facilitar el análisis de los argumentos del comando. Sin embargo, esta característica está habilitada de forma predeterminada, lo que permite a posibles atacantes leer archivos arbitrarios en el sistema de archivos del servidor Jenkins.

Dependiendo de los niveles de permisos, los atacantes pueden utilizar esta vulnerabilidad para acceder a información confidencial, incluyendo el contenido de los archivos. Como se ha señalado en el boletín de seguridad correspondiente, CVE-2024-23897 expone a las instancias no parcheadas a varios tipos de ataques, incluida la ejecución remota de código, mediante la manipulación de las URL de recursos raíz, las cookies "Recordarme" y la elusión de la protección CSRF.

Según la configuración de la instancia, los atacantes podrían descifrar secretos almacenados, eliminar elementos del servidor Jenkins y descargar volcados de almacenamiento dinámico de Java.

Recientemente, se han informado múltiples exploits funcionales para CVE-2024-23897, lo que aumenta significativamente el riesgo para los servidores Jenkins sin parchear y aumenta la posibilidad de una explotación generalizada. Aunque aún no hay evidencia concluyente, los investigadores de seguridad que supervisan los honeypots de Jenkins han observado actividades sospechosas que podrían indicar intentos genuinos de explotación.

Hoy en día, el servicio de monitoreo de amenazas Shadowserver ha detectado aproximadamente 45,000 instancias de Jenkins sin parchear, lo que representa una extensa superficie de ataque. La mayoría de estos servidores vulnerables que están expuestos en Internet se encuentran en China (12,000) y Estados Unidos (11,830), seguidos de Alemania (3,060), India (2,681), Francia (1,431) y el Reino Unido (1,029).

 

Podría interesarte leer:  ¿Tu software está al día?: Importancia de los Parches

 



Estas estadísticas de Shadowserver son una seria advertencia para los administradores de Jenkins, ya que es probable que los piratas informáticos estén evaluando posibles objetivos, y si CVE-2024-23897 se explota con éxito, podría tener consecuencias graves. Para aquellos que no puedan aplicar de inmediato las actualizaciones de seguridad disponibles, se recomienda consultar el boletín de seguridad de Jenkins para obtener recomendaciones de mitigación y posibles soluciones.

 

Conoce más sobre:  ¿Cómo Priorizar los Parches de Software Eficazmente?

 

Medidas de Protección

 

Proteger los servidores Jenkins es crucial para mitigar este riesgo. Algunas medidas recomendadas incluyen:

  1. Actualización y Parcheo: Mantener el software Jenkins actualizado con los últimos parches de seguridad.
  2. Control de Acceso Riguroso: Implementar políticas de acceso estrictas, limitando los permisos solo a los necesarios.
  3. Monitoreo y Alertas: Utilizar herramientas de monitoreo de seguridad para detectar actividades sospechosas.
  4. Seguridad en Capas: Aplicar un enfoque de seguridad en capas que incluya firewalls, antivirus y sistemas de detección y prevención de intrusiones.

 

Conclusión

 

La vulnerabilidad de los servidores Jenkins resalta la necesidad de una vigilancia constante y de prácticas de seguridad robustas en el entorno de desarrollo de software. Las empresas deben tomar medidas proactivas para protegerse de estos ataques, entendiendo que la seguridad informática no es un destino, sino un viaje continuo.