Беззащитные серверы Jenkins: новые PoC-эксплойты уже активно используются

Множество эксплойтов для проверки концепции (Proof-of-Concept, PoC) критической уязвимости Jenkins, позволяющей неаутентифицированному злоумышленнику читать произвольные файлы, стали общедоступными, при этом киберпреступники уже активно используют недостатки в атаках.

24 января 2024 года Jenkins выпустила исправления для 9-ти уязвимостей в системе безопасности и опубликовала рекомендации, в которых описаны различные сценарии атак и пути эксплуатации, а также описания исправлений и возможные обходные пути для тех, кто не может применить обновления.

Среди исправленных уязвимостей особенно выделяется критическая CVE-2024-23897 , которая приводит к удаленному выполнению кода (Remote Code Execution, RCE) и дает возможность читать произвольные файлы в файловой системе контроллера Jenkins.

Имея обширную информацию о недостатках Jenkins, многие исследователи безопасности воспроизвели определенные сценарии атак и создали рабочие PoC-эксплойты для указанной уязвимости, опубликовав их на GitHub ( 1 и 2 ).

Работоспособность PoC уже проверена, поэтому злоумышленники, сканирующие открытые серверы, уже активно пробуют сценарии атак с минимальными изменениями или вовсе без них.

Служба мониторинга Shadowserver сообщила , что её сканеры зафиксировали примерно 45 000 неисправленных экземпляров Jenkins, что указывает на масштаб потенциальной угрозы. Большинство уязвимых серверов находятся в Китае (12 000) и Соединенных Штатах (11 830), за ними следуют Германия (3060), Индия (2681), Франция (1431) и Великобритания (1029).