A CISA egy aktívan kihasznált, kritikus Jenkins sérülékenységre figyelmeztet, amely távoli kódfuttatási elérést (RCE) tesz lehetővé a támadók számára. A Jenkins egy széles körben elterjedt nyílt forráskódú automatizálási eszköz, amely segíti a fejlesztőket a szoftverek fejlesztésének és tesztelésének automatizálásában. A CVE-2024-23897 azonosítóval nyomon követett sebezhetőség az args4j parancsértelmező sérülékenységéből ered, amelyet hitelesítetlen támadók kihasználhatnak ahhoz, hogy tetszőleges fájlokat futtassanak a Jenkins beépített parancssori felületén (CLI) keresztül.
Több proof-of-concept (PoC) exploitot publikáltak online néhány nappal azután, hogy a Jenkins fejlesztői 2024. január 24-én kiadták a biztonsági frissítéseket, és egyes honeypotok állítólag már egy nappal később észlelték is a kihasználási kísérleteket. A Shadowserver nevű biztonsági szervezet jelenleg több mint 28 ezer Jenkins példányt követ nyomon, amelyek ki vannak téve a CVE-2024-23897 sebezhetőségnek, ezek közül a legtöbb Kínában (7700 db) és az Egyesült Államokban (7368 db) található. A Trend Micro jelentése alapján a sérülékenység valós kihasználása márciusban kezdődött. A CloudSEK állítása szerint egy IntelBroker nevű fenyegetési szereplő korábban ebben a hónapban fel is használta a hibát ahhoz, hogy behatoljon a BORN Group nevű IT szolgáltató rendszerébe. A Juniper Networks közleménye szerint, a RansomEXX csoport kihasználva a sebezhetőséget, július végén behatolt a Brontoo Technology Solutions rendszerébe, amely indiai bankoknak nyújt technológiai szolgáltatásokat. Ez a zsarolóprogram-támadás jelentős zavart okozott a kiskereskedelmi fizetési rendszerekben az egész országban.
Ezen közlemények és jelentések okán a CISA hétfőn felvette az említett sebezhetőséget az aktívan kihasznált sérülékenységek közé. A CISA javasolja minden szervezet számára, hogy prioritásként kezeljék a fentebb részletezett sérülékenység javítását és minél előbb frissítsék szoftvereiket.
