Η CISA πρόσθεσε μια κρίσιμη ευπάθεια του Jenkins στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV). Η ευπάθεια μπορεί να αξιοποιηθεί για απομακρυσμένη εκτέλεση κώδικα.
Το Jenkins είναι ένας δημοφιλής open-source automation server που βοηθά τους προγραμματιστές να αυτοματοποιήσουν τη διαδικασία κατασκευής, δοκιμής και ανάπτυξης λογισμικού μέσω συνεχούς ενοποίησης (CI) και συνεχούς παράδοσης (CD).
Η ευπάθεια παρακολουθείται ως CVE-2024-23897 και είναι αποτέλεσμα μιας αδυναμίας στο args4j command parser, την οποία μπορούν να εκμεταλλευτούν μη εξουσιοδοτημένοι εισβολείς για να διαβάσουν αυθαίρετα αρχεία στο Jenkins controller file system, μέσω του ενσωματωμένου command line interface (CLI).
Δείτε επίσης: Ευπάθειες εκθέτουν ηλιακά συστήματα σε hacking
“Αυτός ο command parser έχει ένα χαρακτηριστικό που αντικαθιστά έναν χαρακτήρα @ που ακολουθείται από ένα file path σε ένα argument με τα περιεχόμενα του αρχείου (expandAtFiles)“, εξήγησε η ομάδα Jenkins. “Αυτή η δυνατότητα είναι ενεργοποιημένη από προεπιλογή και τα Jenkins 2.441 και παλαιότερες εκδόσεις και LTS 2.426.2 και παλαιότερες εκδόσεις δεν το απενεργοποιούν“.
Αξίζει να σημειωθεί ότι οι προγραμματιστές Jenkins έχουν κυκλοφορήσει ενημερώσεις ασφαλείας για αυτή την ευπάθεια στις 24 Ιανουαρίου. Ωστόσο, από τότε έχουν κυκλοφορήσει στο διαδίκτυο πολλαπλά proof-of-concept (PoC) exploits.
Η υπηρεσία παρακολούθησης απειλών Shadowserver παρακολουθεί επί του παρόντος περισσότερα από 28,000 Jenkins instances που είναι ευάλωτα στο CVE-2024-23897 (κυρίως σε Κίνα και Ηνωμένες Πολιτείες).
Σύμφωνα με μια αναφορά της Trend Micro, η εκμετάλλευση της ευπάθειας CVE-2024-23897 ξεκίνησε τον Μάρτιο. Η Juniper Networks δήλωσε, επίσης, ότι η συμμορία RansomEXX εκμεταλλεύτηκε την ευπάθεια για να παραβιάσει τα συστήματα της Brontoo Technology Solutions, η οποία παρέχει τεχνολογικές υπηρεσίες σε ινδικές τράπεζες.
Δείτε επίσης: Η ευπάθεια SLUBStick Linux επιτρέπει στους hackers να αποκτήσουν πλήρη έλεγχο του συστήματος
Μετά από αυτές τις αναφορές, η CISA πρόσθεσε την ευπάθεια Jenkins στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, προειδοποιώντας ότι οι φορείς απειλών την εκμεταλλεύονται ενεργά σε επιθέσεις.
Οι υπηρεσίες Federal Civilian Executive Branch Agencies (FCEB) έχουν τρεις εβδομάδες προθεσμία, έως τις 9 Σεπτεμβρίου, για να ασφαλίσουν τους διακομιστές Jenkins στα δίκτυά τους.
Παρόλο που το BOD 22-01 ισχύει μόνο για ομοσπονδιακές υπηρεσίες, η CISA προέτρεψε όλους τους οργανισμούς να επιδιορθώσουν αυτή την ευπάθεια.
Ο κατάλογος KEV της CISA είναι πολύ χρήσιμος για τους οργανισμούς σε όλο τον κόσμο που θέλουν να μαθαίνουν για τις νέες απειλές και ενδιαφέρονται για την καλύτερη διαχείριση ευπαθειών και την ιεράρχηση προτεραιοτήτων.
Γενικά, η CISA βοηθά πολύ στην προστασία και την αντιμετώπιση των απειλών κυβερνοασφάλειας. Ο οργανισμός αυτός συνεργάζεται με διάφορους τομείς, όπως οι ιδιωτικές επιχειρήσεις, οι κυβερνήσεις των πολιτειών και οι τοπικές αρχές, για να βελτιώσει την ασφάλεια των ψηφιακών συστημάτων.
Δείτε επίσης: Ευπάθεια στο Siri επιτρέπει την κλοπή δεδομένων ακόμα και σε κλειδωμένες συσκευές Apple
Παρέχει πληροφορίες και εργαλεία για να βοηθήσει τους οργανισμούς να προστατεύσουν τα δίκτυά τους από κυβερνοεπιθέσεις και να αντιμετωπίσουν τυχόν επιθέσεις που μπορεί να συμβούν. Επιπλέον, ενημερώνει το κοινό για τυχόν ευάλωτα σημεία στα συστήματα και τις εφαρμογές που χρησιμοποιούνται ευρέως.
Συνολικά, ο ρόλος της CISA είναι ζωτικής σημασίας για την προστασία των ψηφιακών υποδομών των ΗΠΑ αλλά και άλλων περιοχών.
Πηγή: www.bleepingcomputer.com
.){kind=link}