Jenkins revela docenas de errores de día cero en múltiples complementos

El jueves, el equipo de seguridad de Jenkins anunció 34 vulnerabilidades de seguridad que afectan a 29 complementos para el servidor de automatización de código abierto de Jenkins, 29 de los errores son de día cero y aún esperan ser reparados.

Jenkins es una plataforma muy popular (con soporte para más de 1700 complementos ) utilizada por empresas de todo el mundo para crear, probar e implementar software.

Los puntajes base de CVSS de los días cero varían de gravedad baja a alta y, según las estadísticas de Jenkins, los complementos afectados tienen un total de más de 22,000 instalaciones.

La lista completa de fallas que aún no se corrigieron incluye errores XSS, XSS almacenados, falsificación de solicitudes entre sitios (CSRF), verificaciones de permisos faltantes o incorrectas, así como contraseñas, secretos, claves API y tokens almacenados en texto sin formato.

Afortunadamente, la mayoría de los peligrosos, los de día cero de alta gravedad, requieren la interacción del usuario para ser explotados en ataques de baja complejidad por parte de atacantes remotos con pocos privilegios.

Según los datos de Shodan, actualmente hay más de 144 000 servidores Jenkins expuestos a Internet que podrían ser objeto de ataques si ejecutan un complemento sin parches.

Jenkins

Si bien el equipo de Jenkins ha parcheado cuatro de los complementos (es decir, GitLab, Requests-Plugin, TestNG Results, XebiaLabs XL Release), todavía hay una larga lista de complementos vulnerables, que incluyen:

  • Cree el complemento de notificaciones hasta 1.5.0 inclusive
  • Complemento build-metrics hasta 1.3 inclusive
  • Cisco Spark Plugin hasta 1.1.1 inclusive
  • Complemento del panel de implementación hasta 1.0.10 inclusive
  • Complemento de consulta de Elasticsearch hasta 1.2 inclusive
  • eXtreme Feedback Panel Plugin hasta 2.0.1 inclusive
  • Complemento de desactivador de trabajo fallido hasta 1.2.1 inclusive
  • Complemento de GitLab hasta 1.5.34 incluido
  • Complemento de virtualización de red HPE hasta 1.0 inclusive
  • Complemento Jigomerge hasta 0.9 inclusive
  • Complemento Matrix Reloaded hasta 1.1.3 incluido
  • Complemento OpsGenie hasta 1.9 inclusive
  • Complemento de trazado hasta 2.1.10 inclusive
  • Complemento de herencia del proyecto hasta el 21.04.03 inclusive
  • Complemento de receta hasta 1.2 inclusive
  • Solicitar Renombrar o Eliminar Complemento hasta 1.1.0 inclusive
  • Requests -plugin Complemento hasta 2.2.16 inclusive
  • Complemento de editor de texto enriquecido hasta 1.4 inclusive
  • Complemento RocketChat Notifier hasta 1.5.2 inclusive
  • Complemento RQM hasta 2.8 inclusive
  • Complemento de notificador de Skype hasta 1.1.0 inclusive
  • Complemento de resultados de TestNG hasta 554.va4a552116332 inclusive
  • Complemento de validación de parámetros de correo electrónico hasta 1.10 inclusive
  • Complemento de lanzamiento de XebiaLabs XL hasta 22.0.0 inclusive
  • Complemento XPath Configuration Viewer hasta 1.1.1 inclusive

"A partir de la publicación de este aviso, no hay solución", dijo el equipo de seguridad de Jenkins al describir las vulnerabilidades sin parchear.

Si bien ninguna de las vulnerabilidades es de gravedad crítica y podría permitir que los actores de amenazas ejecuten código o comandos de forma remota en servidores vulnerables para controlarlos, podrían ser objeto de ataques contra redes empresariales.

Esta no sería la primera vez que sucede desde que los servidores Jenkins sin parches se han visto comprometidos antes para extraer la criptomoneda Monero .

Sin embargo, es más probable que los atacantes potenciales exploten estos días cero en ataques de reconocimiento, lo que les permite obtener más información sobre la infraestructura de una empresa objetivo.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies