Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новые PoC-эксплойты для критической уязвимости Jenkins уже активно используются

30/01/24

jenkins-650

Множество эксплойтов для проверки концепции (Proof-of-Concept, PoC) критической уязвимости Jenkins, позволяющей неаутентифицированному злоумышленнику читать произвольные файлы, стали общедоступными, при этом киберпреступники уже активно используют недостатки в атаках. Об этом пишет Securitylab.

24 января 2024 года Jenkins выпустила исправления для 9-ти уязвимостей в системе безопасности и опубликовала рекомендации, в которых описаны различные сценарии атак и пути эксплуатации, а также описания исправлений и возможные обходные пути для тех, кто не может применить обновления.

Среди исправленных уязвимостей особенно выделяется критическая CVE-2024-23897, которая приводит к удаленному выполнению кода (Remote Code Execution, RCE) и дает возможность читать произвольные файлы в файловой системе контроллера Jenkins.

Имея обширную информацию о недостатках Jenkins, многие исследователи безопасности воспроизвели определенные сценарии атак и создали рабочие PoC-эксплойты для указанного недостатка, опубликованные на GitHub [Некоторые из них: 1 и 2]. Работоспособность PoC уже проверена, поэтому злоумышленники, сканирующие открытые серверы, уже активно пробуют сценарии атак с минимальными изменениями или вовсе без них. Некоторые исследователи сообщают, что их приманки Jenkins уже подверглись атакам – это позволяет предположить, что хакеры начали эксплуатировать уязвимости.

Темы:УгрозыGitHubPoC-эксплоиты
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...