Критична помилка безпеки у популярному сервері автоматизації Jenkins із відкритим вихідним кодом включена до списку відомих вразливостей Агентства з кібербезпеки та безпеки інфраструктури (CISA) після того, як її використовували у програмах-вимагачах та інших атаках. Про це повідомляє DevOps.com.
Найвище урядове агентство з кібербезпеки США додало помилку (відстежується як CVE-2024-23897 і має оцінку серйозності CVSS 9,8 із 10) до свого каталогу відомих вразливостей. Це сповіщає федеральні агентства про захист своїх серверів Jenkins, хоча CISA також попередила всі організації, які використовують такі сервери.
Вразливість в інтерфейсі командного рядка Jenkins (CLI) — це помилка проходження шляху, спричинена слабкістю в парсері команд args4j. Хакери можуть використати її для отримання віддаленого виконання коду (RCE) і читання довільних файлів на сервері Jenkins.
Сервер Jenkins на основі Java, який підтримується CloudBees і спільнотою Jenkins, використовується розробниками для постійної інтеграції та безперервної розробки (CI/CD) й автоматизує етапи життєвого циклу розробки програмного забезпечення, включно з розробкою та розгортанням. Інструмент, який підтримується Amazon Web Services (AWS), GitHub і JFrog, має понад мільйон користувачів.
Янів Нізрий, дослідник вразливостей розробника програмного забезпечення із відкритим кодом SonarSource, вперше повідомив про недолік безпеки в січні. Він зазначив, що з часткою ринку близько 44% популярність Jenkins очевидна. Це означає, що потенційний вплив вразливостей безпеки у Jenkins є значним.
У січні було випущено виправлення Jenkins 2.442, LTS 2.426.3 шляхом вимкнення функції синтаксичного аналізатора команд.
Супроводжувачі пояснили, що Jenkins постачається із вбудованим CLI для доступу до Jenkins зі сценарію або середовища оболонки. Він використовує бібліотеку args4j для аналізу аргументів і параметрів команд на контролері Jenkins під час обробки команд CLI.
«Цей аналізатор команд має функцію, яка замінює символ @, за яким слідує шлях до файлу в аргументі, на вміст файлу (expandAtFiles). Це дає змогу зловмисникам читати довільні файли у файловій системі контролера Jenkins, використовуючи стандартне кодування символів процесу вказаного контролера», — написали супроводжувачі.
У березні дослідники Trend Micro повідомили, що спостерігали численні атаки з використанням недоліку. Причому 28 із 44 вихідних IP-адрес атак надходили з Нідерландів, а інші — із Сінгапура та Німеччини. Більшість цілей були у Південній Африці. Також вони бачили випадки торгівлі експлойтами RCE.
У липні CloudSEK повідомила про атаку на ланцюжок поставок на Born Group — міжнародну агенцію з обслуговування клієнтів і консалтингову компанію, розташовану у Нью-Йорку, з боку групи загроз IntelBroker. Вона спеціалізується на витоку даних, вимаганні та продажу доступу до скомпрометованих систем.
Дослідники CloudSEK заявили, що хакери IntelBroker використовували CVE-2024-23897, щоб отримати початковий доступ через вразливий сервер Jenkins перед тим, як отримати доступ до сховища GitHub Born Group.
Раніше дослідники Juniper Threat Lab написали про атаку програм-вимагачів на Brontoo Technology Solutions — компанію з ІТ-послуг і консалтингу в Індії, яка співпрацює із C-Edge Technologies — спільним підприємством між Tata Consultancy Services і Державним банком Індії.
Фахівці Juniper і CloudSEK пояснили атаку роботою групи програм-вимагачів RansomXXX, яка існує із 2018 року, працює в росії чи Східній Європі та націлена на державні установи, банки й організації сфери охорони здоров’я. Знову ж таки зловмисники отримали початковий доступ до ІТ-середовища Brontoo через вразливість Jenkins.
«Ця вразливість дозволяє неавтентифікованому користувачеві читати кілька перших рядків будь-яких файлів у файловій системі. Це можливо завдяки тому, що вбудована функція аналізатора команд не вимкнена за замовчуванням. У разі успішного використання ця вразливість може призвести до витоку конфіденційних файлів і даних, до можливого виконання команд і спричинити атаку програм-вимагачів», — наголосили дослідники.
Читайте також на нашому сайті: GitHub Copilot Workspace вдосконалює ШІ-функції для розробників.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
