CISA, Jenkins RCE açığının fidye yazılımı saldırılarında aktif olarak kullanıldığı konusunda uyardı

CISA, uzaktan kod çalıştırma olanağı sağlayan ve CVE-2024-23897 olarak izlenen kritik bir Jenkins güvenlik açığını KEV kataloğuna ekledi. Bu güvenlik açığının, fidye yazılım saldırılarında aktif olarak kullanıldığı konusunda uyardı.

CVE-2024-23897 olarak izlenen bu güvenlik açığı, kimliği doğrulanmamış saldırganların yerleşik komut satırı arayüzü (CLI) aracılığıyla Jenkins denetleyici dosya sistemindeki dosyaları okumak için yararlanabileceği “args4j” komut ayrıştırıcısındaki bir zayıflıktan kaynaklanmaktadır. Jenkins ekibi yaptığı açıklamada, “Bu komut ayrıştırıcısı, bir argümandaki @ karakterini takip eden bir dosya yolunu dosyanın içeriğiyle değiştiren bir özelliğe sahiptir (expandAtFiles)” diye belirtti. Bu özelliğin varsayılan olarak etkin olduğu, Jenkins 2.441 ve öncesi, LTS 2.426.2 ve öncesi bunu devre dışı bırakmaz diye de ekledi.

Bu güvenlik açığına ilişkin yama, Jenkins geliştiricileri tarafından 24 Ocak’ta yayınlandı. Güncelleştirmenin yayınlanmasından birkaç gün sonra araştırmacılar, bu hatanın nasıl kullanıldığına ilişkin dökümantasyonlar yayınladılar. Trend Micro’nun yayınladığı bir rapora göre bu güvenlik açığının gerçek zamanlı olarak kullanımı Mart ayında başlamış. Cloudsek, Breachforums’dan tanınan IntelBroker adlı tehdit aktörü tarafından BORN Group’a sızmak için bu açığı kullandığını iddia etti.

Juniper Networks’un araştırmasına göre bu güvenlik açığı, RansomEXX fidye yazılım çetesinin Temmuz ayı (2024) sonlarında Hindistan bankalarına teknoloji hizmetleri sağlayan Brontoo Technology Solutions’ın sistemlerini ihlal etmek için kullanılmış.

Bu raporların ardından CISA, CVE-2024-23897 olarak izlenen bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve fidye yazılım saldırılarında aktif olarak kullanıldığı konusunda uyardı.