A CISA adicionou uma vulnerabilidade crítica do Jenkins, que pode ser explorada para realizar execução remota de código, ao seu catálogo de bugs de segurança, alertando que ela está sendo ativamente explorada em ataques.
O Jenkins é um servidor de automação open-source amplamente utilizado que ajuda desenvolvedores a automatizar o processo de construção, teste e implantação de software por meio de integração contínua (CI) e entrega contínua (CD).
Identificada como
CVE-2024-23897
, essa falha é causada por uma fraqueza no parser de comandos do args4j que atacantes não autenticados podem explorar para ler arquivos arbitrários no sistema de arquivos do controlador Jenkins por meio da interface de linha de comando (CLI) integrada.
"Esse parser de comandos possui um recurso que substitui um caractere @ seguido por um caminho de arquivo em um argumento pelo conteúdo do arquivo (expandAtFiles)", explicou a equipe do Jenkins.
Esse recurso é ativado por padrão e o Jenkins 2.441 e anteriores, LTS 2.426.2 e anteriores não o desabilitam.
Múltiplos exploits de prova de conceito (PoC) foram publicados online dias depois de os desenvolvedores do Jenkins lançarem atualizações de segurança em 24 de janeiro, com alguns honeypots reportando tentativas de exploração apenas um dia depois.
O serviço de monitoramento de ameaças Shadowserver atualmente rastreia mais de 28.000 instâncias Jenkins expostas à
CVE-2024-23897
— a maioria delas na China (7.700) e nos Estados Unidos (7.368) — indicando uma superfície de ataque massiva que lentamente se reduziu de mais de 45.000 servidores não corrigidos encontrados em janeiro.
De acordo com um relatório da Trend Micro, a exploração da
CVE-2024-23897
na prática começou em março, enquanto a CloudSEK afirmou, no início deste mês, que um ator de ameaça conhecido como IntelBroker a explorou para violar o provedor de serviços de TI BORN Group.
Mais recentemente, a Juniper Networks disse, na semana passada, que o grupo RansomEXX explorou a vulnerabilidade para violar os sistemas da Brontoo Technology Solutions, que fornece serviços tecnológicos para bancos indianos, no final de julho.
Esse ataque de ransomware causou interrupções generalizadas nos sistemas de pagamento a retalho em todo o país.
Seguindo esses relatórios, a CISA adicionou a vulnerabilidade de segurança ao seu catálogo de Vulnerabilidades Conhecidas Exploradas na segunda-feira, alertando que atores de ameaça estão ativamente explorando-a em ataques.
Conforme determinado pela diretiva operacional vinculante (BOD 22-01) emitida em novembro de 2021, agências da Sucursal Executiva Civil Federal (FCEB) agora têm três semanas até 9 de setembro para proteger os servidores Jenkins em suas redes contra a exploração contínua da
CVE-2024-23897
.
Embora o BOD 22-01 se aplique apenas a agências federais, a CISA instou fortemente todas as organizações a priorizarem a correção dessa falha e impedirem potenciais ataques de ransomware que possam visar seus sistemas.
"Esse tipo de vulnerabilidade são vetores frequentes de ataque para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal", alertou hoje a agência de cibersegurança.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...