- CISA memperingatkan tentang kerentanan Jenkins yang dapat dieksploitasi untuk serangan ransomware.
- Serangan ransomware yang mengeksploitasi kerentanan Jenkins telah terjadi.
- Badan federal harus segera memperbarui Jenkins untuk mencegah serangan.
pibitek.biz -CISA telah menambahkan kerentanan kritis Jenkins yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh ke katalog bug keamanan, dengan peringatan bahwa itu sedang dieksploitasi secara aktif dalam serangan. Jenkins adalah server otomasi sumber terbuka yang banyak digunakan untuk membantu pengembang mengotomasi proses pembuatan, pengujian, dan pengiriman software melalui integrasi berkelanjutan (CI) dan pengiriman berkelanjutan (CD). Kerentanan ini, yang dilacak sebagai CVE-2024-23897, disebabkan oleh kelemahan pada parser perintah args4j yang dapat dieksploitasi oleh penyerang tidak terautentikasi untuk membaca file arbitrer pada sistem file Jenkins controller melalui antarmuka baris perintah (CLI) bawaan.
2 – AI Apple: Kekecewaan dan Keterlambatan 2 – AI Apple: Kekecewaan dan Keterlambatan
3 – Ransomware dan Tantangan Pembayaran Tebusan 3 – Ransomware dan Tantangan Pembayaran Tebusan
Tim Jenkins menjelaskan bahwa parser perintah ini memiliki fitur yang menggantikan karakter @ diikuti oleh jalur file dalam argumen dengan isi file (expandAtFiles). Fitur ini diaktifkan secara default dan Jenkins 2.441 dan sebelumnya, LTS 2.426.2 dan sebelumnya tidak menonaktifkannya. Beberapa proof-of-concept (PoC) eksploitasi dipublikasikan online beberapa hari setelah tim Jenkins merilis pembaruan keamanan pada 24 Januari, dengan beberapa honeypot melaporkan upaya eksploitasi hanya satu hari kemudian.
Layanan pemantauan ancaman Shadowserver saat ini melacak lebih dari 28.000 instance Jenkins yang terbuka terhadap CVE-2024-23897, sebagian besar dari China (7.700) dan Amerika Serikat (7.368), menunjukkan permukaan serangan yang sangat besar yang telah berkurang dari lebih dari 45.000 server yang tidak dipatch pada Januari. Menurut laporan Trend Micro, eksploitasi CVE-2024-23897 di alam liar dimulai pada Maret, sementara CloudSEK mengklaim bahwa aktor ancaman IntelBroker telah mengeksploitasi kerentanan untuk membobol penyedia layanan IT BORN Group.
Baru-baru ini, Juniper Networks mengatakan bahwa geng RansomEXX telah mengeksploitasi kerentanan untuk membobol sistem Brontoo Technology Solutions, yang menyediakan layanan teknologi kepada bank-bank India, pada akhir Juli. Serangan ransomware ini menyebabkan gangguan luas pada sistem pembayaran ritel di seluruh negeri. Setelah laporan-laporan tersebut, CISA menambahkan kerentanan keamanan ke katalog Known Exploited Vulnerabilities pada hari Senin, dengan peringatan bahwa aktor ancaman sedang mengeksploitasi kerentanan dalam serangan.
Dengan demikian, Badan Eksekutif Federal Civilian (FCEB) harus mengamankan server Jenkins pada jaringan mereka dalam waktu tiga minggu, hingga 9 September, untuk menghindari eksploitasi CVE-2024-23897 yang sedang berlangsung. Meskipun direktif operasional yang mengikat (BOD 22-01) hanya berlaku untuk badan federal, CISA sangat menyarankan semua organisasi untuk memprioritaskan perbaikan kerentanan ini dan menghindari potensi serangan ransomware yang dapat menargetkan sistem mereka. "Jenis kerentanan seperti ini adalah vektor serangan yang sering digunakan oleh aktor cyber jahat dan berpose risiko signifikan terhadap perusahaan federal", badan keamanan siber tersebut memperingatkan hari ini.
