CISA бьёт тревогу: критическая уязвимость Jenkins требует безотлагательных действий

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) добавило критическую уязвимость в Jenkins в свой каталог известных эксплуатируемых уязвимостей (KEV) после того, как она была использована в атаках с применением вымогательского ПО.

Уязвимость, зарегистрированная под кодом CVE-2024-23897 с оценкой 9,8 по шкале CVSS, затрагивает интерфейс командной строки Jenkins и представляет собой проблему обхода пути, которая может привести к выполнению произвольного кода. Проблема была впервые выявлена исследователями безопасности компании Sonar в январе 2024 года и устранена в версиях Jenkins 2.442 и LTS 2.426.3 путём отключения функции парсера команд.

В марте компания Trend Micro сообщила, что обнаружила несколько атак с применением данной уязвимости, исходящих из Нидерландов, Сингапура и Германии. В ходе расследования также было установлено, что эксплойты для удалённого выполнения кода, использующие эту уязвимость, активно распространялись среди киберпреступников.

В последние недели компании CloudSEK и Juniper Networks опубликовали результаты своих исследований, показывающие, что CVE-2024-23897 активно используется для атак на компании BORN Group и Brontoo Technology Solutions. За атаками, по данным исследователей, стоят киберпреступные деятели IntelBroker и RansomExx, специализирующиеся на вымогательском ПО.

CloudSEK также уточнила, что CVE-2024-23897 является уязвимостью локального включения файлов (LFI), которая позволяет злоумышленникам считывать произвольные файлы на сервере Jenkins. Эта уязвимость возникает из-за недостаточной проверки входных данных, что позволяет злоумышленникам манипулировать определёнными параметрами и заставлять сервер получать доступ к конфиденциальным файлам.

С учётом активной эксплуатации этой уязвимости, федеральные агентства США получили указание установить обновления и защитить свои сети от потенциальных угроз до 9 сентября 2024 года.