CISA

CISAは、リモートでコードを実行される可能性のあるJenkinsの重大な脆弱性をセキュリティバグのカタログに追加し、攻撃で積極的に悪用されていると警告した。

Jenkinsは、開発者が継続的インテグレーション(CI)や継続的デリバリー(CD)を通じてソフトウェアをビルド、テスト、デプロイするプロセスを自動化するのを支援する、広く利用されているオープンソースの自動化サーバーです。

CVE-2024-23897として追跡されているこの欠陥は、args4jコマンドパーサの弱点に起因しており、認証されていない攻撃者は、組み込みのコマンドラインインタフェース(CLI)を介してJenkinsコントローラのファイルシステム上の任意のファイルを読み取るために悪用することができます。

「このコマンド・パーサには、引数の@に続くファイル・パスをファイルの内容に置き換える機能(expandAtFiles)があります」と、Jenkinsチームは説明している。”この機能はデフォルトで有効になっており、Jenkins 2.441以前、LTS 2.426.2以前では無効にならない。”

複数の概念実証(PoC)エクスプロイトは、Jenkinsの開発者が1月24日にセキュリティアップデートをリリースした数日後にオンラインで公開され、一部のハニーポットはそのわずか1日後にエクスプロイトの試みを捕捉したと報告されている

脅威モニタリングサービスのShadowserverは、現在、CVE-2024-23897にさらされた28,000以上のJenkinsインスタンスを追跡しており、そのほとんどは中国(7,700)と米国(7,368)である。

Unpatched Jenkins servers against CVE-2024-23897
CVE-2024-23897(Shadowserver)に対するパッチが適用されていないJenkinsサーバ

トレンドマイクロのレポートによると、CVE-2024-23897の悪用は3月に始まり、CloudSEKは今月初めIntelBrokerとして知られる脅威アクターがこれを悪用してITサービスプロバイダーのBORN Groupに侵入したと主張しています。

最近では、ジュニパーネットワークスが先週、RansomEXXのギャングが7月下旬にインドの銀行に技術サービスを提供するBrontoo Technology Solutionsのシステムに侵入するために脆弱性を悪用したと発表した。このランサムウェア攻撃は、インド全土の小売決済システムに広範な混乱を引き起こした。

これらの報告を受け、CISAは月曜日、このセキュリティ脆弱性をKnown Exploited Vulnerabilities(既知の脆弱性)カタログに追加し、脅威行為者が攻撃においてこの脆弱性を積極的に悪用していると警告した。

2021年11月に発行された拘束力のある運用指令(BOD 22-01)によって義務付けられているように、連邦民間行政機関(FCEB)機関は現在、9月9日までの3週間で、現在進行中のCVE-2024-23897の悪用からネットワーク上のジェンキンス・サーバーを保護する必要がある、

BOD 22-01は連邦政府機関にのみ適用されるとはいえ、CISAはすべての組織に対し、この欠陥を優先的に修正し、システムを標的とする可能性のあるランサムウェア攻撃を阻止するよう強く要請した。

「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁に攻撃ベクトルとなっており、連邦政府企業に重大なリスクをもたらす」と、サイバーセキュリティ機関は本日警告した。