Le vulnerabilità informatiche possono mettere a rischio i sistemi di molte organizzazioni e la recente segnalazione di CISA riguardante Jenkins non è da sottovalutare. Jenkins, un popolare server di automazione open-source, è affetto da una grave vulnerabilità che consente l’esecuzione remota di codice e viene attivamente sfruttata in attacchi cyber. Questo articolo esamina in dettaglio questa vulnerabilità, il suo impatto e le raccomandazioni di sicurezza.
vulnerabilità critica di Jenkins: CVE-2024-23897
definizione e caratteristiche della vulnerabilità
Identificata come CVE-2024-23897, questa vulnerabilità è originata da una debolezza nel parser dei comandi args4j, un componente utilizzato nella gestione delle interfacce a riga di comando in Jenkins. Attraverso questa falla, attaccanti non autenticati possono leggere file arbitrari dal file system del controller di Jenkins. Il problema è aggravato dal fatto che una funzionalità del parser consente di sostituire un carattere “@” seguito da un percorso di file con il contenuto di quel file, un processo chiamato “expandAtFiles“. Questa opzione è attivata di default nelle versioni di Jenkins 2.441 e precedenti, così come nelle versioni LTS 2.426.2 e inferiori, rendendo molti server vulnerabili.
diffusione e exploit
A pochi giorni dalla pubblicazione degli aggiornamenti di sicurezza il 24 gennaio, vari exploit di prova sono stati resi pubblici online. Alcuni honeypot hanno registrato tentativi di sfruttamento già il giorno successivo. Secondo il monitoraggio del servizio Shadowserver, oltre 28.000 istanze Jenkins sono esposte a questa vulnerabilità, con la maggior parte localizzate in Cina e negli Stati Uniti. Il numero di server non patchati è diminuito da oltre 45.000 a gennaio, suggerendo un’attenzione crescente verso l’applicazione delle patch di sicurezza.
attacchi noti e impatto commerciale
exploit in ambienti aziendali
Dalla sua scoperta, CVE-2024-23897 ha già dimostrato di essere un vettore d’attacco significativo. Un rapporto di Trend Micro indica che l’esploitazione di questa vulnerabilità è iniziata a marzo, mentre CloudSEK ha rivelato che un attore malevolo noto come IntelBroker l’ha utilizzata per compromettere il fornitore di servizi IT BORN Group. Recentemente, Juniper Networks ha segnalato che il gruppo di ransomware RansomEXX ha sfruttato questa vulnerabilità nei sistemi di Brontoo Technology Solutions, causando notevoli disagi nei sistemi di pagamento al dettaglio in India.
la risposta di CISA e le misure di sicurezza
In risposta a questa crescente minaccia, CISA ha aggiunto la vulnerabilità CVE-2024-23897 al suo catalogo delle vulnerabilità conosciute e sfruttate, avvertendo che gli attori malevoli stanno attivamente utilizzando questa falla nei loro attacchi. Secondo la direttiva operativa vincolante emessa nel novembre 2021, le agenzie del Federal Civilian Executive Branch hanno tempo fino al 9 settembre per mettere in sicurezza i server Jenkins all’interno delle loro reti contro l’esploitazione in corso.
raccomandazioni per tutte le organizzazioni
priorità nella risoluzione delle vulnerabilità
Sebbene la BOD 22-01 si applichi solo alle agenzie federali, CISA ha esortato tutte le organizzazioni, indipendentemente dal settore, a dare priorità alla risoluzione di questa vulnerabilità e a prevenire potenziali attacchi ransomware. Le vulnerabilità come questa rappresentano vettori d’attacco frequenti per gli attori malevoli e pongono notevoli rischi per la sicurezza delle informazioni.
misure di protezione e aggiornamenti
Le organizzazioni che utilizzano Jenkins devono adottare misure proattive per aggiornare le loro istanze del software alla versione più recente e disattivare la funzionalità “expandAtFiles” se non necessaria. È fondamentale eseguire audit di sicurezza regolari e mantenere un’iscrizione attiva con le comunicazioni di sicurezza fornite da CISA e altri enti di tutela informatica.
Le azioni tempestive da parte delle organizzazioni possono contribuire a mitigare i rischi e proteggere dai cyber attacchi, evidenziando l’importanza di una gestione della sicurezza informatica attiva e reattiva.