رئيس مجلس الإدارة هدى عوض
خادم Jenkins

بسبب خلل خطير.. 45 ألف خادم Jenkins عرضة للهجمات

تعرضت عشرات الآلاف من خوادم Jenkins لخلل شديد الخطورة بعد تحديث التصحيح. يمكّن هذا الخلل الجهات الفاعلة الضارة من تنفيذ تعليمات برمجية ضارة عن بُعد على الأنظمة المتأثرة. ويقال إن حوالي 45000 خادم Jenkins متأثر ومفتوح لهجمات تنفيذ التعليمات البرمجية عن بعد (RCE)، والتي تسمى CVE-2024-23897.

 

وفي تقرير استشاري على موقع Jenkins الإلكتروني، قال إن خطورة الموقف تم تصنيفها على أنها حرجة، لأنها “تسمح للمهاجمين بقراءة الملفات التعسفية على نظام ملفات وحدة تحكم Jenkins باستخدام ترميز الأحرف الافتراضي لعملية وحدة تحكم Jenkins”.

أصدر المشروع مفتوح المصدر مؤخرًا تحديثين لتصحيح هذه المشكلة الأمنية. وينصحون المستخدمين بشدة بتنفيذ هذه التصحيحات على الفور لتقليل المخاطر المحتملة. يتم استخدام خادم التشغيل الآلي لنظام CI/CD من قبل المطورين كمرحلة اختبار لتجربة عمليات مختلفة.

يشير السجل إلى أن غالبية الخوادم المتأثرة تقع في الولايات المتحدة والصين، حيث يبلغ عددها 15,806 و11,955 على التوالي. تليها الهند بـ 3,572 خادمًا، وألمانيا بـ 3,487 خادمًا، وجمهورية كوريا بـ 2,204 خادمًا، وفرنسا بـ 1,482 خادمًا، والمملكة المتحدة بـ 1,179 خادمًا معرضًا للخطر.

على الرغم من اكتشاف الثغرة الأمنية من قبل فريق أبحاث الثغرات الأمنية في Sonar في 24 يناير، إلا أنها لا تزال غير مثبتة، مما يجعلها عرضة للهجمات المحتملة.

ما مدى خطورة الهجوم؟

تم تصنيف CVE-2024-23897 بدرجة خطورة عالية تبلغ 9.8، والتي تعتبر خطيرة. تستغل مشكلة عدم الحصانة هذه ميزة موجودة في واجهة سطر الأوامر (CLI) الخاصة بـ Jenkins، والتي يتم تنشيطها افتراضيًا في الإصدارات حتى Jenkins 2.441.

 

وفقًا لـ BleedingComputer، هناك إمكانية للمهاجمين لفك تشفير الأسرار المخزنة، وحذف العناصر من خوادم Jenkins، وتنزيل تفريغات Java heap. كما أشارت إلى أنه كانت هناك بالفعل عدة “محاولات حقيقية للاستغلال”.

في عام 2023، تم اعتبار Jenkins أحد أفضل أدوات المطورين لهذا العام نظرًا لقابليته للتوسعة والتكيف. ومع ذلك، أفادت شركة الأمن السيبراني أرميس أن الهجمات السيبرانية تضاعفت في عام 2023 . ويحذرون من أن العديد من الشركات في جميع أنحاء العالم تواصل التقليل من التهديد المتصاعد للأمن السيبراني.

اقرأ أيضًا:

هل يستخدم الطلاب حقًا ChatGPT للغش في المدرسة؟

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.