ผู้เชี่ยวชาญเตือน Jenkins Instance กว่า 45,000 ตัว เสี่ยงต่อการถูกโจมตี

เมื่อสัปดาห์ก่อนมีประกาศเตือนพร้อมโค้ดสาธิตเกี่ยวกับช่องโหว่ร้ายแรงของ Jenkins ที่นำไปสู่การอ่านข้อมูลสำคัญได้ เพียงไม่นานก็มีผู้เชี่ยวชาญบางรายเผยว่าพบการโจมตีอย่างทันควัน ล่าสุดผู้เชี่ยวชาญจาก Shadowserver ได้ออกมาตอกย้ำว่ายังมีเซิร์ฟเวอร์ Jenkins มากถึง 45,000 ตัวที่เข้าถึงได้ผ่านอินเทอร์เน็ตและได้รับผลกระทบต่อช่องโ

CVE-2024-23897 เป็นช่องโหว่ที่เกิดขึ้นใน Jenkins เวอร์ชัน 2.441 และก่อนหน้า รวมถึง 2.426.2 LTS และก่อนหน้า โดยไอเดียคือมีฟีเจอร์ ‘@’ ในไลบรารี args4j ที่ช่วยให้ส่งผ่าน Path ของไฟล์ได้ แน่นอนว่าผู้ไม่หวังดีสามารถใช่ช่องทางนี้เข้าไปอ่านไฟล์ต่างๆ ในกรณีของผู้ที่ไม่ได้ผ่านการพิสูจน์ตัวตนอาจอ่านได้ไฟล์ได้ไม่กี่บรรทัด แต่หากผ่านการพิสูจน์ตัวตนอาจเข้าถึงข้อมูลได้ทั้งหมด ซึ่งประเด็นคืออาจอ่านข้อมูลไบนารีที่มีกุญแจเข้ารหัสได้นั่นเอง นำไปสู่การโจมตีที่ร้ายแรงมากขึ้นอย่างการลอบรันโค้ด ทั้งนี้ Sonar ผู้ค้นพบช่องโหว่ได้เผยโค้ดสาธิตไว้อีกด้วย เมื่อวันที่ 25 มกราคมที่ผ่านมา อย่างไรก็ดีทาง Jenkins ได้ออกอัปเดตแพตช์ไว้แล้วในเวอร์ชัน 2.442 และ 2.426.3

ล่าสุดเริ่มมีผู้อ้างว่าพบการโจมตีจริงกับฟาร์ม Honeypot ของตนเอง ในขณะที่ผู้ติดตามภัยคุกคามรายอื่นอาจจะยังไม่พบความพยายามนี้ แต่หากพูดถึงความเสี่ยงมีการเปิดเผยตัวเลขว่าขณะนี้คาดว่ามีเซิร์ฟเวอร์ Jenkins ราว 45,000 ตัวทั่วโลกที่เชื่อมต่ออินเทอร์เน็ต และเป็นเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่ โดยส่วนใหญ่อยู่ในสหรัฐฯและจีน ที่เหลือราว 11,000 ตัวกระจายอยู่ในเยอรมัน อินเดีย และฝรั่งเศส รวมถึงประเทศอื่นๆ

ที่มา : https://www.securityweek.com/45000-exposed-jenkins-instances-found-amid-reports-of-in-the-wild-exploitation/ และ https://www.securityweek.com/critical-jenkins-vulnerability-leads-to-remote-code-execution/