ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), fidye yazılımı saldırılarında istismar edilmesinin ardından Jenkins’i etkileyen kritik bir güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2024-23897 (CVSS puanı: 9,8) olarak izlenen güvenlik açığı, kod yürütülmesine yol açabilecek bir yol geçiş kusurudur.
CISA yaptığı açıklamada, “Jenkins Komut Satırı Arayüzü (CLI), saldırganların belirli dosyalara sınırlı okuma erişimi sağlamasına olanak tanıyan ve kod yürütülmesine yol açabilen bir yol geçiş güvenlik açığı içeriyor” dedi.
İlk olarak Ocak 2024’te Sonar güvenlik araştırmacıları tarafından ortaya çıkarıldı ve Jenkins 2.442 ve LTS 2.426.3 sürümlerinde komut ayrıştırıcı özelliği devre dışı bırakılarak giderildi.
Trend Micro, Mart ayında Hollanda, Singapur ve Almanya’dan kaynaklanan çeşitli saldırı örneklerini ortaya çıkardığını ve söz konusu açığın uzaktan kod yürütme istismarlarının aktif olarak alınıp satıldığı örnekleri tespit ettiğini açıklamıştı.
Son haftalarda CloudSEK ve Juniper Networks, BORN Group ve Brontoo Technology Solutions şirketlerine sızmak için CVE-2024-23897’yi kullanan gerçek dünya saldırılarını ortaya çıkardı.
Saldırıların, sırasıyla IntelBroker ve RansomExx fidye yazılımı çetesi olarak bilinen tehdit aktörleri tarafından gerçekleştirildiği belirtildi.
CloudSEK, “CVE-2024-23897, saldırganların Jenkins sunucusundaki keyfi dosyaları okumasına izin veren kimliği doğrulanmamış bir LFI güvenlik açığıdır” dedi. “Bu güvenlik açığı, saldırganların belirli parametreleri manipüle etmesine ve sunucuyu hassas dosyaların içeriklerine erişmesi ve bunları görüntülemesi için kandırmasına olanak tanıyan uygunsuz giriş doğrulamasından kaynaklanmaktadır.”
Güvenlik açığının aktif olarak kullanılması nedeniyle Federal Sivil Yürütme Organı (FCEB) kurumlarının düzeltmeleri uygulamak ve ağlarını aktif tehditlere karşı güvence altına almak için 9 Eylül 2024’e kadar süreleri bulunmaktadır.