Daha önce Jenkins’in, tehdit aktörleri tarafından sunucudaki hassas dosyaları okumak için kullanılabilecek, kimliği doğrulanmamış rastgele dosya okumalarıyla ilişkili yeni bir kritik güvenlik açığıyla keşfedildiği bildirilmişti. CVE’den CVE-2024-23897 olarak bahsedildi ve ciddiyeti henüz kategorize edilmedi.
Bir güvenlik araştırmacısına göre, internet üzerinden Jenkins sunucularının büyük çapta tarandığından bahseden raporlar da vardı. Ancak şu anda çevrimiçi olarak halka açık 45.000’den fazla Jenkins örneğinin bulunduğu bildirildi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Kamuya Açık Jenkins Sunucular
Cyber Security News ile paylaşılan raporlara göre Jenkins’in toplam pazar payı %43’tür ve bu, diğer CI/CD yazılımlarından çok daha yüksek bir çeyrek rakamıdır. Bu, Jenkins’i kuruluşlar arasında en çok kullanılan açık kaynaklı CI/CD sunucularından biri yapar.
Ayrıca, CVE-2023-23897 güvenlik açığı, güvenlik açığı bulunan örneklerde herhangi bir kimlik doğrulama gerektirmez. Savunmasız örneklerden yararlanmanın belirli bir kriteri olsa da, kullanım kolaylığı nedeniyle yine de kritik bir güvenlik açığı olarak kabul edilmektedir.
Bir güvenlik araştırmacısının veya tehdit aktörünün belirli bir Jenkins örneğinin savunmasız olup olmadığını bulması için herhangi bir özel beceriye ihtiyaç yoktur. Yalnızca sunucunun IP adresini ve bağlantı noktası numarasını içeren basit bir cURL komutu, bir örneğin savunmasız olup olmadığını doğrulamak için fazlasıyla yeterlidir.
45000 Sunucu açığa çıktı
Shadowserver, yanlış yapılandırılmaları halinde istismar edilebilecek 45.000’den fazla sunucunun bulunduğunu bildirdi. Tehdide ek olarak, CVE-2023-23897 ile birlikte başka bir güvenlik açığının daha rapor edildiği bildirildi.
Bu güvenlik açığı, bir tehdit aktörünün güvenlik açığı bulunan örnek üzerinde rastgele komutlar yürütmesine olanak tanıyan, kimliği doğrulanmamış, uzaktan kod yürütme güvenlik açığıydı. Ancak Shadowserver raporlarına göre Çin, yaklaşık 12.000 sunucuyla en fazla Jenkins örneğine sahip ülke.
Onu 11.830 sunucuyla Amerika Birleşik Devletleri takip ediyor. Almanya ve Hindistan’da sırasıyla yaklaşık 3000 ve 2500 sunucu bulunmaktadır. Diğer ülkelerde internet üzerinden açığa çıkan birden fazla Jenkins sunucusu vardı.
Ancak yine de tüm kuruluşların Jenkins sunucularını en son sürümlere yükseltmeleri, bu sunucuların tehdit aktörleri tarafından istismar edilmemesi için tavsiye ediliyor.