有多组研究人员本周针对持续整合开发工具Jenkins的重大漏洞CVE-2024-23897提出警告,先是有人于程式码储存库GitHub公开滥用此漏洞的概念性验证程式码(PoC),随后,有些蜜罐陷阱也出现遭到骇客尝试利用漏洞发动攻击的情况。
但在此同时,仍有许多IT人员尚未部署相关更新软体,目前已知有多达7万台Jenkins伺服器曝险,可能成为骇客下手的目标。
【攻击与威胁】
1月26日资安业者Nextron Systems研究人员Florian Roth提出警告,他发现有人在程式码储存库GitHub上传2组概念性验证程式码(PoC),接下来攻击者很可能会尝试将漏洞用于攻击行动;果不其然,加州大学柏克莱分校天空运算实验室(Sky Computing Lab)研究人员Chaofan Shou发现,他们部署的Jenkins蜜罐陷阱(Honeypot),遭到了漏洞扫描及尝试利用的情况。 究竟有多少Jenkins伺服器尚未修补?28日Shadowserver基金会发现,仍有约4.5万台Jenkins伺服器尚未进行更新,大部分位于中国及美国,分别有12,000台、11,830台,其次是德国3,060台、印度2,681台、法国1,431台。次日资安业者SORadar根据物联网搜寻引擎Shodan分析的结果,认为实际尚未修补的伺服器数量可能更多,他们看到总共有超过7.7万台Jenkins伺服器尚未升级至2.442版、LTS 2.426.3版而曝险,其中美国有22,243台、中国有19,930台,德国、印度、新加坡各有5,530台、5,293台、3,080台。 资料来源 1.
3.
这些骇客的主要攻击对象,是医疗保健、制造、专业服务、法律顾问等领域,大部分攻击发生在北美,但欧洲与印度也有灾情。研究人员提到,这些骇客过往在窃得受害组织的资料后,将内部环境的档案进行加密,接著向该组织进行双重勒索,但现在骇客一改这样的做法,攻击过程不再使用勒索软体进行资料破坏。 比较特别的是,研究人员看到该组织疑似与另一个名为Makop的勒索软体骇客组织结盟,因为他们共用.NET开发的可执行档,该执行档的主要功能是取得档案清单、登录档及剪贴簿资料,而这个小工具内含俄语书写的内容。针对上述现象,研究人员推测,这两个骇客组织可能不只是互通有无,甚至共用程式码基础(Codebase),或是委由相同的外部开发团队打造恶意程式。 资安业者Sophos于2023年7月侦测到滥用防毒软体Panda驱动程式pskmad_64.sys的攻击行动,研究人员著手调查此事并与使用者进行合作,推测上述事故可能是骇客进行模拟测试的侦察行为。 研究人员从骇客滥用的驱动程式进行分析,结果发现了3个漏洞,分别是:记忆体溢位漏洞CVE-2023-6330、记忆体越界写入漏洞CVE-2023-6331、任意读取漏洞CVE-2023-6332,CVSS风险评分界于4.1至6.4,影响WatchGuard EPDR产品线(EPP、EDR、EPDR)、Panda Adaptive Defense 360、Panda Dome,1月18日WatchGuard发布更新软体予以修补。 上述漏洞当中,比较值得留意的是CVE-2023-6330、CVE-2023-6331,因为一旦遭到利用,攻击者很有可能用来发动阻断服务攻击(DoS),甚至能取得系统权限执行任意程式码。