CISA ha agregado a su catálogo de errores de seguridad una vulnerabilidad crítica de Jenkins que puede explotarse para lograr la ejecución remota de código, advirtiendo que está siendo explotada activamente en ataques.
Jenkins es un servidor de automatización de código abierto ampliamente utilizado que ayuda a los desarrolladores a automatizar el proceso de creación, prueba e implementación de software mediante integración continua (CI) y entrega continua (CD).
Seguimiento como CVE-2024-23897Esta falla es causada por una debilidad en el analizador de comandos args4j que los atacantes no autenticados pueden aprovechar para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins a través de la interfaz de línea de comandos (CLI) incorporada.
«Este analizador de comandos tiene una característica que reemplaza un carácter @ seguido de una ruta de archivo en un argumento con el contenido del archivo (expandAtFiles)», el equipo de Jenkins explicar. «Esta función está habilitada de forma predeterminada y Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores no la deshabilitan».
Varios exploits de prueba de concepto (PoC) se publicaron en línea días después de que los desarrolladores de Jenkins liberado Actualizaciones de seguridad el 24 de enero, con algunos honeypots habría atrapado intentos de explotación sólo un día después.
Servicio de monitoreo de amenazas Shadowserver está siguiendo actualmente más de 28.000 instancias de Jenkins expuestas a CVE-2024-23897, la mayoría de China (7.700) y Estados Unidos (7.368), lo que indica una superficie de ataque masiva que ha disminuido lentamente desde más de 45.000 servidores sin parches descubiertos en enero.
Según un Informe de tendencia MicroLa explotación salvaje de CVE-2024-23897 comenzó en marzo, mientras que CloudSEK reclamado a principios de este mes que un actor malicioso conocido como IntelBroker lo había aprovechado para piratear al proveedor de servicios de TI BORN Group.
Más recientemente, Juniper Networks dicho La semana pasada, la banda RansomEXX aprovechó esta vulnerabilidad para piratear los sistemas de Brontoo Technology Solutions, que proporciona servicios tecnológicos a bancos indios, a finales de julio. Este ataque de ransomware provocó interrupciones generalizadas en los sistemas de pago minorista en todo el país.
Tras estos informes, CISA añadió la vulnerabilidad de seguridad a su Catálogo de vulnerabilidades explotadas conocidas lunes, advirtiendo que los malos actores lo están explotando activamente en sus ataques.
Según lo exige la Directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021, las Agencias Ejecutivas Civiles Federales (FCEB) ahora tienen tres semanas hasta el 9 de septiembre para proteger los servidores Jenkins en sus redes contra la explotación continua de CVE-2024-23897.
Aunque BOD 22-01 sólo se aplica a agencias federales, CISA muy recomendado Todas las organizaciones deberían priorizar parchear esta vulnerabilidad y frustrar posibles ataques de ransomware que podrían atacar sus sistemas.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores maliciosos y presentan riesgos importantes para la empresa federal”, advirtió hoy la agencia de ciberseguridad.
