En hallazgos recientes, los investigadores de seguridad han descubierto aproximadamente 45,000 instancias de Jenkins expuestas en línea, susceptibles a CVE-2024-23897.
Esta vulnerabilidad crítica de ejecución remota de código (RCE) ha generado preocupaciones debido a la existencia de múltiples exploits de prueba de concepto (PoC) públicos.
¿Qué es Jenkins? Jenkins es un destacado servidor de automatización de código abierto para Integración Continua/Despliegue Continuo (CI/CD).
Los desarrolladores utilizan Jenkins para agilizar los procesos de construcción, prueba y despliegue dentro de organizaciones de diversas misiones y tamaños.
La vulnerabilidad: CVE-2024-23897
El 24 de enero de 2024, Jenkins abordó la vulnerabilidad con el lanzamiento de las versiones 2.442 y LTS 2.426.3. La falla, CVE-2024-23897, se origina en un problema de lectura arbitraria de archivos dentro de la Interfaz de Línea de Comandos (CLI).
Esta falla surge de una característica que reemplaza automáticamente un carácter ‘@’ seguido de una ruta de archivo con el contenido del archivo.
Aunque destinada a facilitar el análisis de argumentos de comandos, esta característica habilitada por defecto abre puertas para que los atacantes lean archivos arbitrarios en el sistema de archivos del controlador de Jenkins.
Dependiendo de los permisos del atacante, esta vulnerabilidad permite el acceso no autorizado a información sensible, comprometiendo potencialmente archivos enteros o solo las líneas iniciales.
El boletín de seguridad describe la exposición a varios ataques, incluido el RCE, mediante la manipulación de las URL de raíz de recursos, cookies de “Recuérdame” o eludir la protección CSRF.
Explotación y riesgo
Los investigadores de seguridad han generado alarmas sobre la disponibilidad de exploits funcionales para CVE-2024-23897. La posibilidad de una explotación en la naturaleza es preocupante, como indican las actividades observadas en las trampas de Jenkins.
Aunque aún no hay evidencia concluyente de una explotación real, el servicio de monitoreo de amenazas de Shadowserver ha identificado alrededor de 45,000 instancias de Jenkins no parcheadas a nivel mundial.
Distribución geográfica de instancias vulnerables
Un mapa de calor proporcionado por Shadowserver revela la concentración de instancias vulnerables, siendo China (12,000) y Estados Unidos (11,830) los más afectados. Alemania, India, Francia y el Reino Unido siguen, enfatizando el alcance global de la vulnerabilidad.
Recomendaciones para administradores de Jenkins
Dada la gravedad de la situación, se insta a los administradores de Jenkins a tomar medidas inmediatas. La aplicación de las actualizaciones de seguridad disponibles es crucial. Para aquellos que no pueden hacerlo de inmediato, el boletín de seguridad de Jenkins ofrece recomendaciones valiosas de mitigación y posibles soluciones temporales para minimizar los riesgos.
Relacionado
544 Cursos Gratis -para siempre- Udemy en Inglés, ¡Vamos a Estudiar Programación!
En esta recopilación vas a encontrar una gran cantidad de cursos siempre gratuitos de Udemy. La característica común de todos ellos es que son cursos en inglés. Si quieres realizar una búsqueda rápida, puedes pulsar las teclas CONTROL+F y escribir la temática / tecnología que se desea estudiar.. Espero que tengas suerte y encuentres lo que buscas. Si no es así, puedes probar a revisar estas ¡SEGUIR LEYENDO!
Historia de entrega continua de Dailymotion con Jenkins, Jenkins X y Tekton
En Dailymotion, alojamos y entregamos contenido de video premium a usuarios de todo el mundo. Constantemente estamos creando una gran variedad de software para impulsar el servicio, desde nuestro reproductor o sitio web de Dailymotion hasta nuestra API GraphQL o plataforma de tecnología publicitaria. La entrega continua es una práctica central en nuestra organización, lo que nos permite impulsar nuevas funciones de forma rápida e iterativa. ¡SEGUIR LEYENDO!
GDE: Carlos Sánchez, experto en Google Cloud
Carlos Sánchez es experto en la Plataforma en la Nube de Google. Especializado en la automatización de software, desde las herramientas de construcción hasta la entrega continua y progresiva. Involucrado en el código abierto durante más de 15 años, es autor del complemento Jenkins Kubernetes y miembro de la Fundación de Software Apache entre otros grupos de código abierto, contribuyendo a varios proyectos, como Jenkins o ¡SEGUIR LEYENDO!
¿Qué es Jenkins?, Herramienta de Integración Continua
En este artículo vas a poder conocer que es Jenkins y qué es la integración continua, también sus ventajas y desventajas. Así como algunos enlaces hacía los mejores y más importantes recursos con los que aprender a implementar Jenkins dentro de tus proyectos de la forma más adecuada, ¡Al lío! Qué es Jenkins? Jenkins es un servidor automatizado de integración continua de código abierto capaz de ¡SEGUIR LEYENDO!
15 Mejores alternativas a Jenkins
Jenkins es una plataforma de integración continua de código abierto y que se ha convertido en una herramienta crucial dentro del ciclo de vida de gran mayoría de DevOps. Sin embargo, su interfaz está desactualizada y no es fácil de usar en comparación con las interfaces de usuario más actuales. La configuración de Jenkins podría ser complicada para los desarrolladores más principiantes o simplemente, para aquellos ¡SEGUIR LEYENDO!
10 Mejores Herramientas de DevOps 2024
El concepto de DevOps no es nuevo en el mundo tecnológico, pero durante 2022 ha alcanzado por completo las mentes de los líderes empresariales y tecnológicos. DevOps implementa un cambio cultural y unas nuevas prácticas capaces de reunir a los equipos de desarrollo y operaciones con el objetivo de convertir las mejores prácticas en un recurso estratégico capaz de aumentar la productividad dentro de cualquier empresa. ¡SEGUIR LEYENDO!
