Het cyberagentschap van de Amerikaanse overheid waarschuwt voor een kritieke path traversal-kwetsbaarheid in Jenkins die bij ransomware-aanvallen is ingezet. Jenkins is een open source automatiseringsserver die organisaties ondersteunt bij het ontwikkelen, uitrollen en automatiseren van projecten. Op 24 januari kwam Jenkins met beveiligingsupdates voor het probleem, maar niet alle organisaties hebben die geïnstalleerd, waaronder verschillende banken in India.

Jenkins beschikt over een ingebouwde command line interface (CLI) waarmee Jenkins vanaf een script- of shell-omgeving kan worden benaderd. Voor het verwerken van CLI-commando's gebruikt Jenkins de args4j library om zo commando argumenten en opties aan de Jenkins-controller door te geven. Deze commando parser beschikt over een feature die het @-teken gevolgd door een bestandspad in een argument, vervangt door de inhoud van het bestand.

De feature staat standaard ingeschakeld en zorgt ervoor dat aanvallers via de standaard character encoding van de Jenkins-controller willekeurige bestanden op het bestandssysteem van de Jenkins-controller kunnen lezen. De impact van de kwetsbaarheid (CVE-2024-23897) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is niet bekend met het gebruik van deze kwetsbaarheid bij ransomware-aanvallen, maar vorige week lieten Juniper Networks en securitybedrijf CloudSEK weten dat het beveiligingslek was gebruikt om ransomware-aanvallen op Indiase banken uit te voeren.