Cabecera-v2-web.jpg

Múltiples vulnerabilidades de riesgo bajo, medio y alto en Jenkins


Jenkins es un servidor de automatización open source escrito en Java, ayuda en la automatización de parte del proceso de desarrollo de software mediante la integración continua. Admite herramientas de control de versiones y puede ejecutar proyectos basados en Apache Ant y Apache Maven, así como secuencias de comandos de consola y programas por lotes de Windows.

En sus versiones anteriores a la 2.218 y anteriores a LTS 2.204.1, se descubrieron diversas vulnerabilidades que se identifican como CVE-2020-2099, CVE-2020-2100, CVE-2020-2101, CVE-2020-2102, CVE-2020-2103, CVE-2020-2104, CVE-2020-2105, CVE-2020-2106, CVE-2020-2107 y CVE-2020-2108.

Las mismas permiten realizar ataques de clickjacking debido a una mala implementación de la cabecera X-Frame-Options, ver los datos de uso de memoria de la JVM a usuarios con permisos generales, obtener datos como el ID de sesión HTTP de los usuarios, obtener el HMAC (código de autentificación de mensajes en clave-hash), causar una denegación de servicios por medio de una amplificación UDP en el puerto 33848; y también comprometer el cifrado de las comunicaciones, así un atacante podrá conectarse desde los agentes Jenkins comprometidos al agente Jenkins maestro.

Por otra parte, una vulnerabilidad en el plugin de Jenkins WebSphere Deployer 1.6.1 y versiones anteriores, permite a un atacante realizar ataques de entidad externa XML, conocidos como ataques de XXE, debido a que estas versiones no configuran el analizador XML para evitar este tipo de ataques. Si un atacante logra cargar un archivo war especialmente diseñado que contenga el archivo WEB-INF/ibm-web-ext.xml podrá producir un ataque de denegación de servicios o acceder a archivos y servicios (locales o remotos, dependiendo del escenario de la explotación).

Además, se ha conocido otra vulnerabilidad en Jenkins Fortify Plugin 19.1.29, el cual almacena la contraseña del servidor proxy sin cifrar en los archivos de configuración config.xml. Esto permite a un atacante con acceso al archivo config.xml y con permisos de lectura extendida obtener la contraseña del servidor proxy en texto plano.

Por último, una vulnerabilidad en Jenkins Code Coverage API Plugin 1.1.2 y versiones anteriores dan lugar a una vulnerabilidad conocida como XSS (Cross Site Scripting), debido a que no escapan correctamente el nombre de los archivos del informe de cobertura. Una explotación exitosa permite a un atacante cambiar la apariencia del sitio, redirigir a una víctima a sitios de malware, cambiar la configuración de trabajo, entre otros ataques.

Recomendaciones:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11