Jenkins の RCE 脆弱性 CVE-2026-53435:デシリアライズを悪用する攻撃キャンペーンを観測

Jenkins RCE Flaw Exploited by Attackers in the Wild

2026/06/15 gbhackers — Jenkins に存在するリモート・コード実行 (RCE) 脆弱性 CVE-2026-53435 が、現在進行形で積極的に悪用されている。この脆弱性は、Jenkins の config.xml 処理時における安全でないデシリアライズに起因するものであり、未認証または低権限の攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許すものだ。そのため、広く利用されている CI/CD 自動化サーバに依存する組織に深刻なリスクが生じている。

Jenkins の RCE 脆弱性

DefusedCyber が共有した脅威インテリジェンスによると、自動化されたスキャン手法と悪用手法を介して、インターネット上に公開された Jenkins インスタンスを標的とする悪用試行が、2026年6月15日の時点で確認されている。

デセプション環境から収集されたテレメトリ・データが示すのは、脅威アクターがミスコンフィグまたはパッチ未適用の Jenkins デプロイメントを積極的に探索していることである。この安全でないデシリアライズの脆弱性を悪用する攻撃者は、初期アクセスを獲得し、企業ネットワーク内部へと侵入していく可能性がある。

この脆弱性は、Jenkins がコンフィグ・ファイル内のシリアライズされたオブジェクトを処理する仕組みに存在し、攻撃者は config.xml に細工されたペイロードを注入することで安全でないデシリアライズを誘発し、ホスト・システム上で任意コードを実行できる。

Jenkins インスタンスがインターネットへ公開されている環境や適切な認証制御を欠く環境において、この攻撃ベクターは特に危険であり、攻撃対象領域の大幅な拡大につながる可能性がある。また、初期の攻撃パターンは、公開された Jenkins エンドポイントをスキャンし、コンフィグ・ファイルのアップロードまたは改竄を試みるものであり、機会主義的な悪用が示されている。

攻撃に成功した攻撃者は、システム・レベルのコマンドを実行し、バックドアを展開するとともに、暗号資産マイナーやリモート・アクセス型トロイの木馬などの、追加のペイロードをインストールできる。

Jenkins は、ソフトウェア開発パイプラインの中核を担うことが多い。したがって、侵害に成功した攻撃者により、ビルド・プロセスの改竄や、ソフトウェア成果物への悪意のコード注入が行われ、プラットフォーム内に保存された機密認証情報へのアクセスに至る可能性もある。

Jenkins exploitation (Source: X)
Jenkins exploitation (Source: X)

現在進行中のキャンペーンの侵害インジケータ (IoC) には、Jenkins のコンフィグ・エンドポイントを標的とする異常な HTTP POST リクエスト/config.xml に対する不審な変更/Jenkins サーバからの予期しないアウトバウンド接続が含まれる。

セキュリティ・チームに推奨されるのは、不審なデシリアライズ活動や未承認のコンフィグ変更をログで監視し、Jenkins インスタンスへのアクセスを制限するネットワーク・レベルの保護対策を実装することである。緩和策として挙げられるのは、Jenkins サーバへの公開アクセスの即時の制限や、強力な認証メカニズムの適用、パッチまたはベンダー推奨の回避策の適用である。

また、ユーザー組織は、デシリアライズ攻撃の対象となり得る不要なプラグインや機能の無効化も検討すべきである。さらに、Web アプリケーション・ファイアウォール (WAF) や侵入検知システム (IDS) の導入は、悪用の試みを検出/遮断する上で有効となる。

現在、この脆弱性の積極的な悪用が確認されている。Jenkins が企業環境で広く利用されていることを踏まえると、脆弱性 CVE-2026-53435 は緊急対応を要する高リスクの欠陥として扱う必要がある。そのため、セキュリティ・チームに求められるのは、優先的なパッチ適用と、徹底した侵害評価の実施である。それに加えて、侵入の兆候を検出するための継続的な監視も実施すべきである。

訳者後書:この問題の原因は、 Jenkins の設定ファイルである config.xml が処理される際に、安全でないデシリアライズが実行される点にあります。この仕組みを悪用する攻撃者は、細工したデータを注入することで、サーバ上で任意のコードを実行できてしまいます。特に、パッチが未適用でインターネットに公開されている環境や、適切な認証制御が欠けている環境が狙われやすくなっています。この脆弱性 CVE-2026-53435 は、実環境で積極的に悪用されています。開発パイプラインの中核である Jenkins が侵害されると、機密情報の漏洩やビルドプロセスの改竄などの組織全体への深刻な影響が生じる可能性があります。ご利用のチームは、ご注意ください。よろしければ、Jenkins での検索結果も、ご参照ください。