La sicurezza informatica è in allerta: exploit di vulnerabilità Jenkins diffusi online con conseguenti attacchi hacker.
Al centro dell’attenzione degli esperti di cyber security vi è una vulnerabilità critica scoperta nel noto sistema di automazione Jenkins, che ha scatenato un’ondata di attività malintenzionate. Gli exploit Proof of Concept (PoC), una volta pubblicati, hanno fornito a criminali informatici gli strumenti per monetizzare rapidamente questa scoperta, lanciando attacchi su infrastrutture IT non protette. La gravità di tale vulnerabilità, identificata come CVE-2024-23897, risiede nella sua capacità di permettere ad attaccanti non autorizzati di leggere dati sensibili e orchestrate azioni potenzialmente devastanti.
La scoperta di SonarSource ha messo in luce due gravi vulnerabilità che, se sfruttate, permettono di accedere a dati riservati e di eseguire comandi arbitrari, compromettendo così la sicurezza dei sistemi. Specie quella più insidiosa, consente l’accesso in lettura a file arbitrari sui server Jenkins vulnerabili, rappresentando una minaccia senza precedenti.
Il meccanismo alla base dell’attacco sfrutta il comportamento del parser args4j, che, se riceve un argomento di comando che inizia con “@”, procederà all’espansione automatica del contenuto dei file, rendendoli così leggibili dall’aggressore. Questa caratteristica, sebbene innocua in condizioni standard, diviene un serio rischio di esecuzione remota di codice (RCE) se abbinata ad una serie di condizioni favorevoli agli attacchi.
L’elevazione di privilegi e la compromissione di servizi gestiti da Jenkins non sono scenari ipotetici, ma possibili realtà che gli amministratori di rete devono affrontare e scongiurare applicando le patch di sicurezza rilasciate. A seguito della diffusione delle informazioni sulle debolezze di Jenkins, ricercatori e hacker hanno realizzato PoC che dimostrano la fattibilità degli attacchi descritti, mettendo ancor più a rischio i sistemi.
D’altro canto, vi è la vulnerabilità identificata con CVE-2024-23898, riguardante un exploit di tipo Cross-Site Scripting (XSS) via WebSocket, che, nonostante le protezioni browser, rimane una minaccia latente.
L’analisi del panorama attuale non può prescindere dalle azioni preventive: il 24 gennaio 2024, i developer di Jenkins hanno distribuito aggiornamenti contenenti le correzioni e hanno diffuso un comunicato per spiegare le modalità di attacco e le pratiche di sicurezza consigliate.
Nonostante gli interventi di sicurezza, il rischio resta elevato: gli exploit per la CVE-2024-23897 sono già stati sperimentati e validati, rendendo immediatamente operativi gli attaccanti senza bisogno di ulteriori modifiche ai PoC disponibili su piattaforme come GitHub. La conferma che tali exploit siano già funzionali e utilizzati arriva da osservazioni effettuate su honeypot Jenkins che rilevano tentativi di attacco; una situazione che impone massima vigilanza da parte di chi gestisce tali sistemi.
Dato l’impatto e l’urgenza di questi rilievi, è di fondamentale importanza per la comunità IT mondiale prendere coscienza dei pericoli e agire prontamente per mitigare ogni possibile rischio.