1 августа в Индии произошел масштабный сбой в работе банковских платежных систем из-за атаки программы-вымогателя на сервисного провайдера некоторых банков – компании C-Edge Technologies. Команда Juniper Networks подробно описала процесс взлома в своем отчете.
C-Edge Technologies оказалась уязвимой из-за неправильно настроенного сервера Jenkins. Именно сервер стал начальной точкой атаки, что позволило злоумышленникам получить несанкционированный доступ к системам компании и внедрить программу-вымогатель. За атакой стоит группа RansomEXX, которая уже давно известна своими атаками на предприятия, правительственные учреждения и банковские организации по всему миру.
Уязвимость, которая была использована для атаки, CVE-2024-23897 (оценка CVSS: 9.8), дает возможность атакующему, не имея аутентификации, читать произвольные файлы в файловой системе контроллера Jenkins и выполнять вредоносный код.
Имея обширную информацию о недостатках Jenkins, многие исследователи безопасности воспроизвели определенные сценарии атак и создали рабочие PoC-эксплойты для указанной уязвимости, опубликовав их на GitHub.
Атака началась с того, что хакеры отправили POST-запрос на сервер Jenkins, пытаясь выполнить вредоносную команду. Сервер обработал запрос, что дало злоумышленникам доступ к важной информации, включая данные о пользователях системы. Позже выяснилось, что проблема была в одной из программных частей сервера, которая некорректно обрабатывала такие запросы, что позволило киберпреступникам обойти защиту и получить доступ к командам сервера. Последующее выполнение команд и вывод результатов через Jenkins выполнялись с помощью инструмента сетевого анализа Wireshark.
Специалисты Juniper Networks отметили, что атака на C-Edge Technologies подчеркивает важность регулярного обновления и исправлений для всех используемых программных решений. В данном случае уязвимость в Jenkins могла быть предотвращена своевременным обновлением и правильной настройкой сервера. Также инцидент демонстрирует необходимость строгого управления конфигурациями, особенно в случае таких критических систем, как серверы Jenkins.
Кроме того, инцидент акцентирует внимание на необходимости принятия модели Zero Trust, которая подразумевает, что ни к одному устройству или пользователю не должно быть доверия по умолчанию. Постоянная проверка всех операций и пользователей – ключ к защите от подобных угроз.