Checkmarx warnt vor kompromittiertem Jenkins AST Plugin

Checkmarx hat am Wochenende bestätigt, dass eine kompromittierte Version des Jenkins AST Plugins im Jenkins Marketplace veröffentlicht wurde. Die Sicherheitsfirma rät Nutzern, sicherzustellen, dass sie die Version 2.0.13-829.vc72453fa_1c16 verwenden, die am 17. Dezember 2025 veröffentlicht wurde oder eine frühere Version. Der Vorfall folgt einem kürzlichen Supply Chain Angriff, der die Integrität von Software-Plugins gefährdete. Checkmarx hat keine spezifischen Details zu den Auswirkungen des Angriffs veröffentlicht, jedoch wird die Notwendigkeit betont, Sicherheitsupdates umgehend zu implementieren.

Das Jenkins AST Plugin wird häufig in DevOps-Umgebungen eingesetzt, um Sicherheitsanalysen in den Softwareentwicklungsprozess zu integrieren. Die Kompromittierung könnte potenziell zu einer Vielzahl von Sicherheitsrisiken führen, insbesondere in Unternehmen, die auf automatisierte CI/CD-Pipelines setzen. Checkmarx hat die betroffenen Nutzer aufgefordert, ihre Installationen zu überprüfen und gegebenenfalls auf die sichere Version des Plugins zu aktualisieren. Die Sicherheitsfirma hat zudem angekündigt, weitere Informationen zur Verfügung zu stellen, um die Nutzer über die Risiken und notwendigen Maßnahmen zu informieren. Die Sicherheitslücke könnte auch Auswirkungen auf andere Plugins im Jenkins Marketplace haben, da die Angreifer möglicherweise ähnliche Methoden verwenden könnten, um weitere Software zu kompromittieren.

Experten empfehlen, alle Plugins regelmäßig auf Updates zu überprüfen und Sicherheitsrichtlinien zu befolgen. Die Reaktion der Community auf den Vorfall war gemischt, wobei einige Nutzer ihre Besorgnis über die Sicherheit von Open-Source-Plugins äußerten. Die Diskussion über die Notwendigkeit von mehr Transparenz und Sicherheitsprüfungen in der Softwareentwicklung hat an Fahrt gewonnen. Checkmarx hat sich verpflichtet, die Sicherheitslage zu verbessern und plant, in den kommenden Wochen zusätzliche Sicherheitsmaßnahmen und Schulungen anzubieten. Die Firma betont, dass die Sicherheit von Softwareprodukten eine gemeinsame Verantwortung von Entwicklern und Nutzern ist.

Die Vorfälle im Bereich der Cybersicherheit nehmen zu, und Unternehmen sind gefordert, proaktive Maßnahmen zu ergreifen, um ihre Systeme zu schützen. Laut einer aktuellen Studie sind 70 % der Unternehmen in den letzten 12 Monaten Opfer von Cyberangriffen geworden. Die Sicherheitslücke im Jenkins AST Plugin könnte weitreichende Folgen haben, insbesondere für Unternehmen, die auf Continuous Integration und Continuous Deployment setzen. Checkmarx hat angekündigt, dass sie bis Ende Mai 2026 eine umfassende Sicherheitsüberprüfung aller ihrer Produkte durchführen werden.