A kutatók nagyjából 45000 olyan online Jenkins példányt találtak, amelyek sebezhetőek egy kritikus távoli kódfuttatási (RCE) hibával (CVE-2024-23897) szemben, amelyre több nyilvános proof-of-concept (PoC) exploitot publikáltak.
A Jenkins egy nyílt forráskódú automatizálási kiszolgáló, amelyet széles körben használnak a szoftverfejlesztésben, a folyamatos integráció (CI) és a folyamatos telepítés (CD) területén. Szerepet játszik a szoftverfejlesztési folyamat különböző részeiben, például az alkalmazások készítésében, tesztelésében és telepítésének automatizálásában. Több, mint ezer integrációs bővítményt támogat, és sok szervezet használja, köztük a nagyvállalatok is.
A vállalat 2024. január 24-én kiadta a 2.442-es és az LTS 2.426.3-as verziót a CVE-2024-23897 sérülékenység javítására. A probléma a CLI azon funkciójából adódik, amely automatikusan helyettesíti a fájl elérési útvonalát követő @ karaktert a fájl tartalmával, amely funkció a parancsargumentumok elemzését hivatott megkönnyíteni. Ez a funkció alapértelmezés szerint engedélyezett, azonban lehetővé teszi a támadók számára, hogy tetszőleges fájlokat olvassanak a Jenkins vezérlő fájlrendszerén. A jogosultsági szinttől függően a támadók hozzáférhetnek érzékeny információkhoz, beleértve bármely fájl első néhány sorát vagy akár teljes fájlokat is.
Néhány napja biztonsági kutatók több működő exploitra figyelmeztettek a hiba kapcsán, ami megnöveli a javítatlan Jenkins kiszolgálók aktív kihasználás valószínűségét.
A kutatók olyan tevékenységeket figyeltek meg, amelyek hasonlítanak a valódi kihasználási kísérletekre, bár erre még nincs meggyőző bizonyítékuk.
A Shadowserver fenyegetésfigyelő szolgáltatás arról számolt be, hogy szkennerei nagyjából 45000 javítatlan Jenkins példányt “fogtak”, ami hatalmas támadási felületet jelent. A legtöbb sebezhető, az internet irányából elérhető példány Kínában (12000) és az Egyesült Államokban (11830) található, ezt követi Németország (3060), India (2681), Franciaország (1431) és az Egyesült Királyság (1029).
A Shadowserver statisztikái figyelmeztetést jelentenek a Jenkins rendszergazdák számára, mivel a hackerek nagy valószínűséggel már most is keresik a potenciális célpontokat, és a CVE-2024-23897 kihasználása súlyos következményekkel járhat.
Azoknak a felhasználóknak, akik nem tudják azonnal alkalmazni a rendelkezésre álló biztonsági frissítéseket, a Jenkins biztonsági tájékoztatót adott ki.