
2024年8月19日 CISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)は、リモート コード実行に悪用される可能性のある重大な Jenkins の脆弱性をセキュリティ バグのカタログに追加し、攻撃で積極的に悪用されていると警告しました。
最近では本脆弱性を悪用し、ランサムウェア攻撃集団がインド全土の小売り決済システムを停止させました。
脆弱性 CVE-2024-23897の概要
args4j コマンド パーサーの弱点によって引き起こされ、認証されていない攻撃者がこれを悪用して、組み込みのコマンド ライン インターフェイス (CLI) を介して Jenkins コントローラー ファイル システム上の任意のファイルを読み取ることができます。
これにより、攻撃者は Jenkins コントローラー プロセスのデフォルトの文字エンコーディングを使用して、Jenkins コントローラー ファイル システム上の任意のファイルを読み取ることができます。
- 全体/読み取り権限を持つ攻撃者はファイル全体を読み取ることができます。
- 全体/読み取り権限を持たない攻撃者は、ファイルの最初の数行を読み取ることができます。読み取れる行数は、使用可能な CLI コマンドによって異なります。このアドバイザリの公開時点で、Jenkins セキュリティ チームは、プラグインをインストールせずに Jenkins の最新リリースでファイルの最初の 3 行を読み取る方法を発見しており、この行数を増やすプラグインは特定されていません。
脆弱性の対象バージョン
- Jenkins 2.426.2 およびそれ以前
- Jenkins 2.441 およびそれ以前
CISAの脆弱性のリストに追加
CISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)のリストに記載された脆弱性は
米政府機関と関連する機関で対策が必須になります。
CISAのリストではSolarWindsの脆弱性は Web ヘルプデスクの信頼できないデータのデシリアライゼーションの脆弱性と記載されており、9月5日までの3週間以内にパッチを適用する事が求められます。
引用