<div dir="ltr">CAIS-Alerta [26-01-2024]: Vulnerabilidades no Jenkins Core e Plugins<br>
<br>
Prezados(as),<br>
O CAIS alerta a comunidade de segurança cibernética para 
vulnerabilidades críticas divulgadas pela mantenedora do Jenkins em seu 
boletim de segurança. Atualizações estão disponíveis para corrigir essas
 falhas, que impactam desde o Jenkins Core até os plugins utilizados 
pela aplicação. Destacamos o CVE-2024-23897, com uma pontuação CVSS de 
9.8, permitindo a execução remota de código arbitrário (RCE).<br>
Até a última revisão deste alerta, não foram identificados códigos capazes de explorar estas vulnerabilidades.<br>
<br>
O Jenkins é uma ferramenta de código aberto e tem o objetivo de 
automatizar diversas etapas do desenvolvimento de software. Ele abrange 
desde a execução de testes até a implantação das atualizações.<br>
<br>
1) Produto(s) e versões afetadas;<br>
2) Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>);<br>
3) Descrição da vulnerabilidade;<br>
4) Mitigação e correções disponíveis; e<br>
5) Mais informações.<br>
<br>
1) Produto e versões afetadas:<br>
<br>
Produto:<br>
Jenkins Core<br>
<br>
Versões:<br>
Anteriores a 2.441 e LTS 2.426.2<br>
<br>
2) Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>):<br>
<br>
CVE-2024-23897<br>
<br>
3) Descrição da vulnerabilidade:<br>
<br>
O Jenkins (Core) possui uma vulnerabilidade de segurança relacionada à 
sua interface de linha de comando (CLI). O software utiliza a biblioteca
 args4j para analisar argumentos e opções de comando no controlador 
Jenkins ao processar comandos CLI. O analisador de comandos possui um 
recurso que, quando habilitado (configuração padrão até a versão Jenkins
 2.441 e LTS 2.426.2), substitui um caractere "@" seguido por um caminho
 de arquivo em um argumento pelo conteúdo do arquivo(expandAtFiles). 
Esta vulnerabilidade possibilita que agentes maliciosos explorem a 
capacidade de leitura de arquivos, utilizando a codificação de 
caracteres padrão do processo do controlador Jenkins, possibilitando a 
execução remota de código arbitrário (RCE). <br>
<br>
4) Mitigação e correções disponíveis:<br>
<br>
A equipe de desenvolvimento do Jenkins já disponibilizou atualizações para corrigir esse problema.<br>
Para obter mais detalhes e aplicar as correções necessárias, consulte: <a href="https://www.jenkins.io/security/advisory/2024-01-24/" rel="noreferrer" target="_blank">https://www.jenkins.io/security/advisory/2024-01-24/</a><br>
<br>
5) Mais informações:<br>
<a href="https://www.jenkins.io/security/advisory/2024-01-24/" rel="noreferrer" target="_blank">https://www.jenkins.io/security/advisory/2024-01-24/</a><br>
<a href="https://socradar.io/critical-jenkins-cli-file-read-vulnerability-could-lead-to-rce-attacks-cve-2024-23897/" rel="noreferrer" target="_blank">https://socradar.io/critical-jenkins-cli-file-read-vulnerability-could-lead-to-rce-attacks-cve-2024-23897/</a><br>
<a href="https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html" rel="noreferrer" target="_blank">https://thehackernews.com/2024/01/critical-jenkins-vulnerability-exposes.html</a><br>
<br>
O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.<br>
<br>
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!<br>
Twitter: @caisRNP<br>
Facebook: <a href="http://facebook.com/RedeNacionaldeEnsinoePesquisaRNP" rel="noreferrer" target="_blank">facebook.com/RedeNacionaldeEnsinoePesquisaRNP</a>.<br>
<br>
################################################################<br>
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #<br>
#       Rede Nacional de Ensino e Pesquisa (RNP)               #<br>
#                                                              #<br>
# <a href="mailto:cais@cais.rnp.br" target="_blank">cais@cais.rnp.br</a>       <a href="https://www.rnp.br/sistema-rnp/cais" rel="noreferrer" target="_blank">https://www.rnp.br/sistema-rnp/cais</a>   #<br>
# Tel. 019-37873300      Fax. 019-37873301                     #<br>
# Chave PGP disponível   <a href="https://www.rnp.br/cais/cais-pgp.key" rel="noreferrer" target="_blank">https://www.rnp.br/cais/cais-pgp.key</a>  #<br>
################################################################<div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div></div>