Softwareentwicklung: Schadcode-Attacken auf Jenkins-Server beobachtet

Die US-Behörde Cybersecurity & Infrastructure Security Agency (CISA) warnt vor Attacken auf Jenkins-Server. Sicherheitsupdates stehen zum Download bereit.

Jenkins hilft bei der Softwareentwicklung, indem es etwa APIs und Bibliotheken zusammenfasst, um Vorgänge wie Build-Prozesse zu automatisieren. Wie aus einer Warnmeldung hervorgeht, ist die derzeit aktiv ausgenutzte Schwachstelle (CVE-2024-23897) mit dem Bedrohungsgrad "kritisch" eingestuft.

Kritische Schadcode-Lücke

Die Schwachstelle findet sich im Command Line Interface (CLI). Daran können Angreifer mit präparierten Anfragen ansetzen, um unbefugt Daten wie kryptografische Schlüssel einzusehen. In Verbindung mit weiteren Voraussetzungen, etwa wenn der CLI-WebSocket-Endpoint zugänglich ist, können Angreifer sogar Schadcode auf Systeme schieben und ausführen.

Um Systeme dagegen abzusichern, sollten Admins einer der folgenden Versionen installieren: 2.442, LTS 2.426.3 oder LTS 2.440.1. Wenn Admins die Sicherheitspatches zurzeit nicht installieren können, sollten sie bis zu deren Einrichtung Systeme schützen, indem sie den CLI-Zugriff deaktivieren.

Den Ergebnissen der Shadowserver-Suchmaschine zufolge sind weltweit mehr als 28.000 Jenkins-Instanzen für die Schadcode-Attacke anfällig. In Deutschland betrifft das rund 2000 Server.

Weitere Bedrohungen

Überdies haben die Jenkins-Entwickler in den aktuellen Versionen noch weitere Schwachstellen geschlossen. Darunter findet sich unter anderem eine weitere Lücke, die Angreifern das Einschmuggeln von Schadcode ermöglicht (CVE-2024-23899, hoch). Außerdem können Angreifer aufgrund von unzureichenden Überprüfungen Zugangsdaten einsehen.

Weitere Informationen zu den verbleibenden Lücken und Sicherheitspatches führen die Entwickler in einer Warnmeldung aus.

(des)