Nuevo aviso de Seguridad afecta a complementos de Jenkins

24 Agosto 2022
Alto

 

El servidor Jenkins, publicó un aviso de seguridad que contiene 4 vulnerabilidades que se distribuyen en: 2 de severidad Alta , 1  de severidad Media y 1  de severidad Baja.

Este anuncio menciona vulnerabilidades de Jenkis que afecta a varios de sus complementos:

  • CollabNet
  • Git
  • El Plugin de historial de configuración del trabajo
  • Kubernetes

CVE-2022-38664
Vulnerabilidad XSS almacenada en el complemento del historial de configuración de trabajos.

Permite que un atacante a través de un input desconocido cause una vulnerabilidad de clase cross site scripting. Los efectos de éste ataque aún son desconocidos. No se conocen los detalles técnicos ni hay ningún exploit disponible.

 

CVE-2021-25738
Vulnerabilidad de RCE en el complemento de implementación continua de Kubernetes.

Esta vulnerabilidad incluye una biblioteca del cliente Java de Kubernetes que no permite configurar su analizador YAML para evitar la creación de instancias de tipos arbitrarios.Esto da como resultado una vulnerabilidad de ejecución remota de código (RCE) que pueden explotar los usuarios que pueden proporcionar archivos de entrada YAML al paso de compilación del complemento de implementación continua de Kubernetes. Por el momento no se evidencian exploits conocidos para esta vulnerabilidad ni detalles técnicos.

 

CVE-2022-38663
Enmascaramiento inadecuado de credenciales en Git Plugin 

Esta vulnerabilidad permite que las credenciales en el registros de compilación proporcionado por el gitUsernamePassword, no se enmascaren correctamente, es decir, que sean reemplazados con asteriscos.  Como efecto secundario de la corrección, los nombres de usuario actualmente configurados para no ser enmascarados perderán su enmascaramiento actual (no intencionado).

 

CVE-2022-38665
RabbitMQ password stored in plain text by CollabNet Plugins Plugin.

Esta vulnerabilidad permite almacenar una contraseña sin cifrar en el archivo de configuración global del controlador de Jenkins, donde los usuarios con acceso al sistema pueden verla.  No se conocen los detalles técnicos ni hay ningún exploit disponible.

 

Panorama

Jenkins es probablemente una de las herramientas de integración continua más conocidas del mercado por los desarrolladores de software, lo cual indica que puede ser ocupada por gran variedad de organizaciones. Por lo tanto,  no estará exenta a ser un blanco para que los atacantes logren estudiar estas vulnerabilidades a profundidad y usarlas como vectores de ataque para conseguir sus propósitos.    

En este orden de ideas, instituciones como CISA y MS-ISAC recomiendan que las organizaciones actualicen a las últimas versiones de ZCS, siempre considerando la importancia de contar con un programa de administración de vulnerabilidades que priorice la administración de parches y el análisis de vulnerabilidades explotadas conocidas.

 

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Configure y asegure correctamente los dispositivos de red orientados a Internet.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Vulnerabilidad #Kubernetes #Git #CollabNet #CVE-2022-38663 #CVE-2022-38664 #CVE-2022-38665 #CVE-2021-25738


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.