Jenkinsにおけるリモートコード実行(RCE)脆弱性「CVE-2026-53435」が、現在野外で積極的に悪用されています。
この脆弱性は、Jenkinsのconfig.xml処理における安全でないデシリアライゼーションに起因するもので、認証なし、または低権限の攻撃者が脆弱なインスタンス上で任意のコードを実行できてしまいます。広く利用されているCI/CDオートメーションサーバーに依存する組織にとって、深刻なリスクとなっています。
Jenkins RCE脆弱性の詳細
セキュリティ研究者の報告によると、悪用の試みは早くも2026年6月15日に確認されており、攻撃者は自動スキャンと悪用技術を用いて外部公開されたJenkinsインスタンスを標的にしています。これはDefusedが共有した脅威インテリジェンスによって明らかになりました。
デセプション環境から収集されたテレメトリデータによると、脅威アクターは設定ミスやパッチ未適用のJenkinsデプロイメントを積極的に探索しており、デシリアライゼーションの弱点を悪用して初期アクセスを獲得し、企業ネットワーク内部へのさらなる侵入を試みていることが示されています。
この脆弱性は、Jenkinsが設定ファイル内のシリアライズされたオブジェクトを処理する方法に存在します。攻撃者が細工したペイロードをconfig.xmlに注入することで、安全でないデシリアライゼーションを引き起こし、ホストシステム上での任意のコード実行につながります。
この攻撃ベクターは、Jenkinsインスタンスがインターネットに公開されていたり、適切な認証制御が欠如していたりする環境において特に危険であり、攻撃対象領域を大幅に拡大させます。
初期の攻撃パターンを見ると、機会主義的な悪用の傾向が読み取れます。攻撃者はインターネット上でアクセス可能なJenkinsエンドポイントをスキャンし、設定ファイルのアップロードまたは改ざんを試みます。
攻撃が成功した場合、攻撃者はシステムレベルのコマンドを実行したり、バックドアを展開したり、クリプトマイナーやリモートアクセス型トロイの木馬などの悪意のあるペイロードを追加でインストールしたりすることが可能です。
ソフトウェア開発パイプラインにおけるJenkinsの中心的な役割を考えると、侵害が成功した場合、攻撃者はビルドプロセスの改ざん、ソフトウェア成果物への悪意あるコードの注入、またはプラットフォーム内に保存された機密認証情報へのアクセスも可能となります。
進行中のキャンペーンに関連する侵害の痕跡(IOC)としては、Jenkinsの設定エンドポイントを標的とした異常なHTTP POSTリクエスト、config.xmlへの不審な変更、Jenkinsサーバーからの予期しないアウトバウンド接続などが挙げられます。
セキュリティチームは、不審なデシリアライゼーションアクティビティや不正な設定変更についてログを監視し、Jenkinsインスタンスへのアクセスを制限するネットワークレベルの保護を実装することが推奨されます。
緩和策としては、Jenkinsサーバーへのパブリックアクセスを直ちに制限すること、強力な認証メカニズムを適用すること、そして利用可能なパッチやベンダー推奨の回避策を適用することが含まれます。
また、デシリアライゼーション攻撃の対象となりうる不要なプラグインや機能を無効化することも検討すべきです。さらに、Webアプリケーションファイアウォール(WAF)や侵入検知システム(IDS)を導入することで、悪用の試みを検知・ブロックすることができます。
積極的な悪用が確認されており、企業環境でのJenkinsの普及度を考慮すると、CVE-2026-53435は緊急対応が求められる高リスクの脆弱性です。セキュリティチームはパッチ適用を優先し、徹底的な侵害評価を実施するとともに、侵入の兆候を検知するための継続的な監視体制を確保してください。
翻訳元: https://gbhackers.com/jenkins-rce-flaw-exploited/
