美国网络安全和基础设施安全局 (CISA) 将影响Jenkins的一个严重漏洞 (CVE-2024-23897) 纳入其“已知已遭利用漏洞 (KEV)”分类表中，原因是该漏洞已被用于勒索攻击中。

该漏洞的CVSS评分为9.8，是一个路径遍历漏洞，可导致代码执行后果。CISA在一份声明中提到，“Jenkins 命令行接口 (CLI) 中包含一个路径遍历漏洞，可导致攻击者将读权限限制到某些文件，从而引发代码执行后果。”该漏洞由Sonar公司的安全研究员首先在2024年1月发现，并在 Jenkins 2.442和LTS 2.426.3版本中通过禁用该命令解析器特性的方式修复。

3月份，趋势科技公司提到，发现位于荷兰、新加坡和德国的多个攻击实例，并发现实例中该漏洞的RCE利用被活跃交易。最近几周，CloudSEK 和 Juniper Networks 公司已披露利用该漏洞的多起网络攻击活动渗透多家公司如 BORN Group 和 Brontoo Technology Solutions。这些攻击活动被指分别由勒索团伙 IntelBroker 和 RansomExx 发动。

CloudSEK 公司提到，“CVE-2024-23897 是一个未认证的LFI漏洞，可导致攻击者读取 Jenkins 服务器上的任意文件。该漏洞是因为输入验证不当造成的，可导致攻击者操控特定参数并诱骗服务器访问并展示敏感文件的内容。”

鉴于该漏洞已遭活跃利用，CISA要求联邦民用行政部门 (FCEB) 在2024年9月9日之前应用修复方案，保护自身网络不受威胁。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~