Vulnerabilidades em sistemas Jenkins pode levar a ataques
Os administradores de instalações Jenkins devem atualizar para a versão mais recente do software o mais rapidamente possível, derivado da descoberta de várias falhas graves na mesma que podem levar a ataques em larga escala.
Jenkins é um popular software open source de automação no desenvolvimento de software, usado por várias entidades para integrar mudanças no código das suas aplicações. Este é fundamental como parte do desenvolvimento de muito software no mercado, e como tal, é usado tanto por grandes empresas como pequenas startups.
No entanto, a empresa de segurança SonarSource revelou recentemente ter descoberto uma falha no software, que pode permitir aos atacantes acederem a dados no servidor e executarem comandos sobre o mesmo com potencial de roubo de dados.
A primeira falha (CVE-2024-23897) foi classificada como crítica, e permite aos atacantes lerem conteúdos dentro dos servidores com o software, o que pode dar acesso a informação sensível.
Ao mesmo tempo, a falha pode ainda ser explorada para aumentar privilégios no sistema, e permitir aos atacantes obterem acesso à conta de administrador do sistema, com permissões para envio de comandos remotos no servidor.
Ao mesmo tempo, os investigadores revelaram ainda uma segunda falha de segurança, que pode permitir aos atacantes executarem código malicioso nos servidores, bastando a um utilizador com permissões elevadas aceder a um link maliciosamente criado para explorar a falha.
A correção de ambas as falhas foram lançadas a 24 de Janeiro de 2024, com as versões 2.442 e LTS 2.426.3, no entanto, ainda existem vários sistemas que se encontram vulneráveis a este ataque, sendo da responsabilidade dos administradores atualizarem o mais rapidamente possível.
De notar que, tendo em conta que muitas das provas de conceito das falhas foram já validadas, existe o potencial dos atacantes começarem a explorar as falhas em sistemas desatualizados.