图:National Payments Corporation of India / Facebook

前情回顾·印度网络威胁态势

安全内参8月20日消息,本月初,印度上百家中小银行使用的数字支付系统遭遇了一场极具破坏性的勒索软件攻击。研究人员发现,这次攻击的根源在于一个Jenkins漏洞。Jenkins是一款开发人员广泛使用的开源自动化工具。

攻击者利用Jenkins漏洞攻陷系统

瞻博网络(Juniper Networks)日前发布一项研究报告,详细分析了攻击者如何利用Jenkins命令行界面(CLI)中的CVE-2024-23897漏洞进行攻击。该界面帮助开发人员与系统进行交互操作。

7月31日,负责管理印度所有零售支付系统的综合组织,印度国家支付公司(NPCI)宣布,正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。

C-Edge为印度的地区农村银行提供技术服务。为减小影响,印度国家支付公司决定将C-Edge与其运营的零售支付系统隔离。C-Edge的客户在开始恢复工作时无法访问支付系统。

经过一天的努力,服务恢复正常。此后,勒索软件团伙RansomEXX宣布对这次攻击负责,并在其泄露网站上声称,他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。

瞻博网络分析了印度国家支付公司向印度计算机应急响应小组(CERT-IN)提交的报告。研究人员表示,这次攻击凸显了各组织应当尽快应用安全补丁并修正服务器配置错误,以防止安全漏洞被恶意利用。

数月前就已有漏洞预警

Jenkins可以帮助开发人员构建、测试和部署软件。然而,这个漏洞允许攻击者访问敏感文件或数据。

去年11月,SonarSource首次发现了CVE-2024-23897漏洞,并帮助Jenkins团队验证今年1月发布的修复程序。

漏洞概念验证(PoC)一经发布,研究人员立即开始注意到攻击企图,并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。

由于Jenkins被广泛部署,这个漏洞在今年年初给网络安全社区敲响了警钟。

Horizon3.ai的首席架构师Naveen Sunkavally指出,全球有成千上万的Jenkins服务器对公众开放。由于这些服务器通常存储着大量敏感信息和其他系统的凭证,Jenkins成为了攻击者的常见目标。

Sunkavally表示:“如果Jenkins服务器的默认配置被错误修改,或者攻击者获取了有效的Jenkins用户账户,即使攻击者没有任何初始权限,他们也可以利用这个漏洞,甚至进一步控制服务器并提取凭证数据。不过,后两种情况依赖于超出攻击者控制的因素。”

他还提到,美国网络安全和基础设施安全局(CISA)的已知被利用漏洞(CISA KEV)目录中包含了四个与Jenkins相关的漏洞。此前,某些漏洞曾被用于安装加密挖矿软件或支持国家级网络攻击。

Critical Start的网络威胁情报分析师Sarah Jones和其他几位研究人员在今年1月发出警告,称该漏洞可能允许黑客窃取大量敏感数据,甚至可能“完全控制组织的基础设施”。

她补充道:“除了这些直接威胁,这类事件还可能对组织的声誉造成持久性损害,削弱公众信任,影响财务稳定,甚至引发法律后果。”

参考资料:https://therecord.media/jenkins-vulnerability-india-npci-ransomware-attack

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。