Jenkins discloses dozens of zero-day bugs in multiple plugins
2022/07/01 BleepingComputer — 木曜日に Jenkins セキュリティ・チームは、オープンソースの自動化サーバ Jenkins における 29種類のプラグインに影響を与える、34件のセキュリティ脆弱性を発表し、そのうち 29件のバグは、パッチ未適用のゼロデイであることを明らかにした。Jenkins は、ソフトウェアのビルド/テスト/デプロイのために、世界中の企業で使用されている極めて人気のあるプラットフォームだ (1,700以上のプラグインに対応)。Jenkins の統計によると、影響を受けたプラグインは、合計で 22,000 以上もインストールされているようだ。
現時点でパッチ未適用の欠陥のリストには、XSS/Stored XSS/Cross-Site Request Forgery (CSRF)/権限チェックの欠落などに加えて、平文で保存されたパスワード/機密情報/API キー/トークンなども含まれる。幸いなことに、深刻度の高い危険なゼロデイ脆弱性の大半は、低権限のリモート攻撃者による複雑度の低い攻撃で、ユーザーとの対話を介して悪用されるものだ。
Shodan のデータによると、現時点でインターネットに公開されている Jenkins サーバは 144,000台以上あり、パッチ未適用のプラグインを実行している場合には、攻撃のターゲットにされる可能性があるという。
Jenkins チームは、4種類のプラグイン (GitLab/requests-plugin/TestNG Results/XebiaLabs XL Release) にパッチを当てたが、依然として以下のような脆弱なものが残っている。
Build Notifications Plugin up to and including 1.5.0
build-metrics Plugin up to and including 1.3
Cisco Spark Plugin up to and including 1.1.1
Deployment Dashboard Plugin up to and including 1.0.10
Elasticsearch Query Plugin up to and including 1.2
eXtreme Feedback Panel Plugin up to and including 2.0.1
Failed Job Deactivator Plugin up to and including 1.2.1
GitLab Plugin up to and including 1.5.34
HPE Network Virtualization Plugin up to and including 1.0
Jigomerge Plugin up to and including 0.9
Matrix Reloaded Plugin up to and including 1.1.3
OpsGenie Plugin up to and including 1.9
Plot Plugin up to and including 2.1.10
Project Inheritance Plugin up to and including 21.04.03
Recipe Plugin up to and including 1.2
Request Rename Or Delete Plugin up to and including 1.1.0
requests-plugin Plugin up to and including 2.2.16
Rich Text Publisher Plugin up to and including 1.4
RocketChat Notifier Plugin up to and including 1.5.2
RQM Plugin up to and including 2.8
Skype notifier Plugin up to and including 1.1.0
TestNG Results Plugin up to and including 554.va4a552116332
Validating Email Parameter Plugin up to and including 1.10
XebiaLabs XL Release Plugin up to and including 22.0.0
XPath Configuration Viewer Plugin up to and including 1.1.1
Jenkins のセキュリティ・チームは未パッチの脆弱性について、「この勧告の発表時点では、修正プログラムは存在しない」と説明している。いずれの脆弱性も、リモートの脅威アクターが、脆弱なサーバ上でコードやコマンドを実行し、それらを乗っ取るような深刻なものではないが、企業ネットワークが攻撃のターゲットになる可能性がある。
以前にも、パッチ未適用の Jenkins サーバが侵害され、Monero 暗号通貨のマイニングに悪用されたことがあった。潜在的な攻撃者が、これらのゼロデイを悪用して、標的とする企業のインフラを偵察するための攻撃を行う可能性が高いともされる。
そういえば、お隣のキュレーション・チームが、Jenkins のプラグインが大変だと、大騒ぎになっていました。6月24日から7月6日にかけて、大量の脆弱性情報を切り分けながら処理したと言っていました。現時点では、パッチの適用/未適用が混在するらしいので、その分だけ対応も面倒になりますね。Jenkins 以外でも、プラグインの問題は多いようです。よろしければ、Plugin で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.