Jenkins Security Alert: New Security Flaws Could Allow Code Execution Attacks
2023/03/08 TheHackerNews — Continuous Integration (CI)/Continuous Delivery (CD) を提供するオープンソースの Jenkins で発見された、2つの深刻なセキュリティ脆弱性は、標的システム上でのコード実行にいたる可能性のあるものだ。この脆弱性は CVE-2023-27898/CVE-2023-27905 は、Jenkins のサーバおよび Update Center に影響を及ぼすものであり、クラウド・セキュリティ企業である Aqua は CorePlague と称している。Jenkins 2.319.2 以前の、すべてのバージョンに影響を及ぼし、悪用が可能だとされる。
Aqua は、「これらの脆弱性を悪用に成功した未認証の攻撃者は、被害者の Jenkins サーバ上での任意のコード実行が可能であり、Jenkins サーバの完全な侵害へといたる可能性がある」と、The Hacker News と共有したレポートで述べている。
この脆弱性は、Jenkins の Update Center から入手するプラグインの処理方法に起因するものであり、脅威アクターがアップロードした悪意のペイロードを取り込んだプラグインにより、クロス・サイト・スクリプティング (XSS) 攻撃を誘発する可能性があるという。
Aqua は、「被害者が Jenkins サーバの “Available Plugin Manager” を開くと XSS が発動し、Script Console API を悪用する攻撃者により、Jenkins サーバ上で任意のコードが実行される」と述べている。
JavaScript コードがサーバに注入される蓄積型 XSS のケースもあり、プラグインのインストールが行われなくても、さらには、プラグインの URL にアクセスが行われなくても、この脆弱性が発動してしまうという。
厄介なことに、この脆弱性はセルフホスト型の Jenkins サーバにも影響する。また、公開されている Jenkins Update Center への攻撃者によるインジェクションも可能であるため、対象となるサーバがインターネット上ではアクセス不能なシナリオであっても、悪用される可能性が生じるという。
しかし、この攻撃の前提条件として、不正なプラグインと Jenkins サーバとの間に互換性があり、”Available Plugin Manager” ページのメイン・フィード上に表示されることがベースにある。
つまり、すべてのプラグイン名と人気キーワードを説明文に埋め込んだプラグインをアップロードすることで、また、偽のインスタンスからリクエストを送信してプラグインのダウンロード数を人為的に高めることで、不正な操作が可能になると Aqua は述べている。
2023年1月24日に情報開示があり、Update Centerとサーバ用のパッチが、Jenkins からリリースされている。ユーザーに対しては、Jenkins サーバを最新バージョンに更新し、潜在的なリスクを軽減することが推奨される。
Jenkins について調べてみたら、OpenStandia というサイトで解説されていました。オープンソースの CI/CD とのことですが、2022/02/16 の「ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて」に記されているように、CI/CD 環境は重要な機能を果たすため、組織の機密情報や認証情報が含まれていることが多く、いまでは攻撃対象の主要な部分になっているようです。この脆弱性 CVE-2023-27898 ですが、お隣のキュレーション・チームに聞いてみたところ、3月10日に報告が上がっているとのことでした。
IoT OT Security News 
You must be logged in to post a comment.