La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha añadido una falla de seguridad crítica que afecta a Jenkins a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), tras su explotación en ataques de ransomware.
La vulnerabilidad, rastreada como CVE-2024-23897 (puntuación CVSS: 9.8), es un defecto de recorrido de ruta que podría llevar a la ejecución de código.
"La Interfaz de Línea de Comandos (CLI) de Jenkins contiene una vulnerabilidad de recorrido de ruta que permite a los atacantes acceder de forma limitada a ciertos archivos, lo que puede llevar a la ejecución de código", dijo CISA en un comunicado.
Fue divulgada por primera vez por investigadores de seguridad de Sonar en enero de 2024 y se abordó en las versiones de Jenkins 2.442 y LTS 2.426.3 al deshabilitar la función del analizador de comandos.
En marzo, Trend Micro informó que había descubierto varios casos de ataque originados en los Países Bajos, Singapur y Alemania, y que había encontrado casos en los que se comerciaban activamente exploits de ejecución remota de código para la falla.
En las últimas semanas, CloudSEK y Juniper Networks han revelado una serie de ciberataques que explotan CVE-2024-23897 en el entorno para infiltrarse en las empresas BORN Group y Brontoo Technology Solutions.
Los ataques han sido atribuidos a un actor de amenaza conocido como IntelBroker y a la banda de ransomware RansomExx, respectivamente.
"CVE-2024-23897 es una vulnerabilidad LFI no autenticada que permite a los atacantes leer archivos arbitrarios en el servidor de Jenkins", dijo CloudSEK. "Esta vulnerabilidad surge de una validación de entrada inadecuada, lo que permite a los atacantes manipular parámetros específicos y engañar al servidor para acceder y mostrar el contenido de archivos sensibles".
A la luz de la explotación activa de la vulnerabilidad, las agencias de la Rama Ejecutiva Civil Federal (FCEB) tienen hasta el 9 de septiembre de 2024 para aplicar las correcciones y asegurar sus redes contra amenazas activas.
Fuente: The Hacker News