[SECURITY-L] [RNP/CAIS Alerta #0135] Vulnerabilidades no Jenkins Core e Plugins

CSIRT Unicamp security em unicamp.br
Sexta Janeiro 26 09:54:22 -03 2024 

CAIS-Alerta [26-01-2024]: Vulnerabilidades no Jenkins Core e Plugins

Prezados(as),
O CAIS alerta a comunidade de segurança cibernética para vulnerabilidades
críticas divulgadas pela mantenedora do Jenkins em seu boletim de
segurança. Atualizações estão disponíveis para corrigir essas falhas, que
impactam desde o Jenkins Core até os plugins utilizados pela aplicação.
Destacamos o CVE-2024-23897, com uma pontuação CVSS de 9.8, permitindo a
execução remota de código arbitrário (RCE).
Até a última revisão deste alerta, não foram identificados códigos capazes
de explorar estas vulnerabilidades.

O Jenkins é uma ferramenta de código aberto e tem o objetivo de automatizar
diversas etapas do desenvolvimento de software. Ele abrange desde a
execução de testes até a implantação das atualizações.

1) Produto(s) e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição da vulnerabilidade;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produto e versões afetadas:

Produto:
Jenkins Core

Versões:
Anteriores a 2.441 e LTS 2.426.2

2) Identificadores CVE (http://cve.mitre.org):

CVE-2024-23897

3) Descrição da vulnerabilidade:

O Jenkins (Core) possui uma vulnerabilidade de segurança relacionada à sua
interface de linha de comando (CLI). O software utiliza a biblioteca args4j
para analisar argumentos e opções de comando no controlador Jenkins ao
processar comandos CLI. O analisador de comandos possui um recurso que,
quando habilitado (configuração padrão até a versão Jenkins 2.441 e LTS
2.426.2), substitui um caractere "@" seguido por um caminho de arquivo em
um argumento pelo conteúdo do arquivo(expandAtFiles). Esta vulnerabilidade
possibilita que agentes maliciosos explorem a capacidade de leitura de
arquivos, utilizando a codificação de caracteres padrão do processo do
controlador Jenkins, possibilitando a execução remota de código arbitrário
(RCE).

4) Mitigação e correções disponíveis:

A equipe de desenvolvimento do Jenkins já disponibilizou atualizações para
corrigir esse problema.
Para obter mais detalhes e aplicar as correções necessárias, consulte:
https://www.jenkins.io/security/advisory/2024-01-24/

5) Mais informações:
https://www.jenkins.io/security/advisory/2024-01-24/
https://socradar.io/critical-jenkins-cli-file-read-vulnerability-could-lead-to-rce-attacks-cve-2024-23897/
https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponível   https://www.rnp.br/cais/cais-pgp.key  #
################################################################
===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20240126/3c737599/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L