Множество эксплойтов для проверки концепции (Proof-of-Concept, PoC) критической уязвимости Jenkins, позволяющей неаутентифицированному злоумышленнику читать произвольные файлы, стали общедоступными, при этом киберпреступники уже активно используют недостатки в атаках. Об этом пишет Securitylab.
24 января 2024 года Jenkins выпустила исправления для 9-ти уязвимостей в системе безопасности и опубликовала рекомендации, в которых описаны различные сценарии атак и пути эксплуатации, а также описания исправлений и возможные обходные пути для тех, кто не может применить обновления.
Среди исправленных уязвимостей особенно выделяется критическая CVE-2024-23897, которая приводит к удаленному выполнению кода (Remote Code Execution, RCE) и дает возможность читать произвольные файлы в файловой системе контроллера Jenkins.
Имея обширную информацию о недостатках Jenkins, многие исследователи безопасности воспроизвели определенные сценарии атак и создали рабочие PoC-эксплойты для указанного недостатка, опубликованные на GitHub [Некоторые из них: 1 и 2]. Работоспособность PoC уже проверена, поэтому злоумышленники, сканирующие открытые серверы, уже активно пробуют сценарии атак с минимальными изменениями или вовсе без них. Некоторые исследователи сообщают, что их приманки Jenkins уже подверглись атакам – это позволяет предположить, что хакеры начали эксплуатировать уязвимости.