Jetzt updaten! Exploits für kritische Jenkins-Sicherheitslücke im Umlauf
Für die in der vergangenen Woche bekanntgewordene kritische Sicherheitslücke in Jenkins ist Exploit-Code aufgetaucht. Höchste Zeit zum Aktualisieren!
(Bild: Shutterstock/chanpipat)
In dem Automatisierungstool Jenkins und zugehörigen Plug-ins wurden gegen Ende vergangener Woche Sicherheitslücken bekannt. Eine davon gilt als kritisch. Nun ist Exploit-Code aufgetaucht, den bösartige Akteure einfach in Angriffen einsetzen können. IT-Verantwortliche sollten daher umgehend ihre Jenkins-Systeme mit den bereitstehenden Aktualisierungen absichern.
Auf X/Twitter haben mehrere IT-Sicherheitsforscher die aufgetauchten und offenbar direkt einsetzbaren Exploits für die Sicherheitslücke CVE-2024-23897 gemeldet. Die Lücke erlaubt das Auslesen beliebiger Dateien und kann in der Ausführung von eingeschleustem Schadcode münden – daher gilt sie mit einem CVSS-Wert von 9.8 auch als kritisches Risiko.
Auch die IT-Forscher von JFrog Security haben die Exploits entdeckt und warnen davor.
Jenkins-Lücke: Mehrere Exploits erschienen
Es sind gleich mehrere Exploits erschienen, die in Python geschrieben wurden. Angreifer können damit unter Angabe von Server-Adresse und Port und einem Pfad mit Dateinamen Dateien von verwundbaren Systemen herunterladen. Dazu gehören etwa SSH-Keys oder Dateien wie /etc/passwed.
Solche Exploits lassen sich von Cyberkriminellen sehr schnell anpassen und in ihre Werkzeugkästen aufnehmen. Updates helfen gegen die Schwachstelle, oder das Abschalten des Command-Line-Interface (CLI). Wer das Update noch nicht starten kann, sollte daher temporär auf diese Lösung zurückgreifen.
Am Donnerstag der vergangenen Woche haben die Jenkins-Entwickler aktualisierte Software-Pakete veröffentlicht, die die Schwachstellen ausbessern. Die Aktualisierung auf Jenkins Weekly 2.442, Jenkins LTS 2.426.3, Git Server Plug-in 99.101.v720e86326c09, Gitlab Branch Source Plug-in 688.v5fa_356ee8520, Matrix Project Plug-in 822.824.v14451b_c0fd42, Qualys Policy Compliance Scanning Connector Plug-in 1.0.6 sowie Red Hat Dependency Analytics Plug-in 0.9.0 sorgt dafür, dass die jetzt verfügbaren Exploits nicht zum Kompromittieren der Systeme missbraucht werden können.
(dmk)
