La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha agregado una falla de seguridad crítica que afecta a Jenkins en sus vulnerabilidades explotadas conocidas (KEV) catálogo, tras su explotación en ataques de ransomware.
La vulnerabilidad, rastreada como CVE-2024-23897 (puntuación CVSS: 9,8), es una falla de recorrido de ruta que podría provocar la ejecución de código.
«La interfaz de línea de comandos (CLI) de Jenkins contiene una vulnerabilidad de recorrido de ruta que permite a los atacantes un acceso de lectura limitado a ciertos archivos, lo que puede llevar a la ejecución de código», dijo CISA en un comunicado.
Fue revelado por primera vez por investigadores de seguridad de Sonar en enero de 2024 y abordado en las versiones 2.442 y LTS 2.426.3 de Jenkins deshabilitando la función de analizador de comandos.
En marzo, Trend Micro dicho Se descubrieron varios casos de ataques originados en los Países Bajos, Singapur y Alemania, y se encontraron casos en los que se estaban comercializando activamente exploits de ejecución remota de código para la falla.
En las últimas semanas, NubeSEK y Redes Juniper han revelado una serie de ciberataques que explotan CVE-2024-23897 para infiltrarse en las empresas BORN Group y Soluciones tecnológicas Brontoo.
Los ataques han sido atribuidos al actor de amenazas conocido como IntelBroker y a la banda de ransomware RansomExx, respectivamente.
«CVE-2024-23897 es una vulnerabilidad LFI no autenticada que permite a los atacantes leer archivos arbitrarios en el servidor Jenkins», CloudSEK dicho«Esta vulnerabilidad surge de una validación de entrada incorrecta, lo que permite a los atacantes manipular parámetros específicos y engañar al servidor para que acceda y muestre el contenido de archivos confidenciales».
Ante la explotación activa de la vulnerabilidad, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen tiempo hasta el 9 de septiembre de 2024 para aplicar las correcciones y proteger sus redes contra amenazas activas.