Jenkins es un servidor de automatización open source escrito en Java, ayuda en la automatización de parte del proceso de desarrollo de software mediante la integración continua. Admite herramientas de control de versiones y puede ejecutar proyectos basados en Apache Ant y Apache Maven, así como secuencias de comandos de consola y programas por lotes de Windows.
En sus versiones anteriores a la 2.218 y anteriores a LTS 2.204.1, se descubrieron diversas vulnerabilidades que se identifican como CVE-2020-2099, CVE-2020-2100, CVE-2020-2101, CVE-2020-2102, CVE-2020-2103, CVE-2020-2104, CVE-2020-2105, CVE-2020-2106, CVE-2020-2107 y CVE-2020-2108.
Las mismas permiten realizar ataques de clickjacking debido a una mala implementación de la cabecera X-Frame-Options, ver los datos de uso de memoria de la JVM a usuarios con permisos generales, obtener datos como el ID de sesión HTTP de los usuarios, obtener el HMAC (código de autentificación de mensajes en clave-hash), causar una denegación de servicios por medio de una amplificación UDP en el puerto 33848; y también comprometer el cifrado de las comunicaciones, así un atacante podrá conectarse desde los agentes Jenkins comprometidos al agente Jenkins maestro.
Por otra parte, una vulnerabilidad en el plugin de Jenkins WebSphere Deployer 1.6.1 y versiones anteriores, permite a un atacante realizar ataques de entidad externa XML, conocidos como ataques de XXE, debido a que estas versiones no configuran el analizador XML para evitar este tipo de ataques. Si un atacante logra cargar un archivo war especialmente diseñado que contenga el archivo WEB-INF/ibm-web-ext.xml podrá producir un ataque de denegación de servicios o acceder a archivos y servicios (locales o remotos, dependiendo del escenario de la explotación).
Además, se ha conocido otra vulnerabilidad en Jenkins Fortify Plugin 19.1.29, el cual almacena la contraseña del servidor proxy sin cifrar en los archivos de configuración config.xml. Esto permite a un atacante con acceso al archivo config.xml y con permisos de lectura extendida obtener la contraseña del servidor proxy en texto plano.
Por último, una vulnerabilidad en Jenkins Code Coverage API Plugin 1.1.2 y versiones anteriores dan lugar a una vulnerabilidad conocida como XSS (Cross Site Scripting), debido a que no escapan correctamente el nombre de los archivos del informe de cobertura. Una explotación exitosa permite a un atacante cambiar la apariencia del sitio, redirigir a una víctima a sitios de malware, cambiar la configuración de trabajo, entre otros ataques.
Recomendaciones:
- Actualizar Jenkins a la versión 2.219, disponibles en el sitio web oficial.
- Actualizar Jenkins a la versión LTS 2.204.2, disponibles en el sitio web oficial.
- Actualizar Jenkins Fortify Plugin a la versión 19.2.30, disponibles en el sitio web oficial.
- Actualizar Code Coverage API Plugin a la versión 1.1.3, disponibles en el sitio web oficial.
- Para el caso de WebSphere Deployer Plugin, desde Jenkins aún no han lanzado los parches de seguridad, por lo que es recomendable estar atentos a las actualizaciones de seguridad e instalarlos lo más pronto posible.
Referencias:
- https://jenkins.io/security/advisory/2020-01-29/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2108
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2107
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2106
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2105
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2104
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2103
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2102
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2101
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2100
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2099