Nuevas vulnerabilidades afectan a Jenkins

El servidor Jenkins, publicó 26 avisos de seguridad que contienen 32 vulnerabilidades que se clasifican como: 9 de Severidad Alta, 20 de Severidad Media y 3 de Severidad Baja.

NOTA: al momento de esta publicación la mayoría de estas vulnerabilidades NO tienen actualizaciones de seguridad.

CVE-2022-41237
RCE vulnerability in DotCi Plugin

DotCi Plugin 2.40.00 y versiones anteriores no configuran su analizador YAML para evitar la creación de instancias de tipo arbitrario.

Esto da como resultado una vulnerabilidad de ejecución remota de código (RCE) explotable por atacantes capaces de modificar archivos .ci.yml en SCM.

NOTA: A partir de la publicación de este aviso, no hay solución.

CVE-2022-41240
Stored XSS vulnerability in Walti Plugin

Walti Plugin 1.0.1 y anteriores no escapan a la información proporcionada por la API de Walti.

Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que los atacantes pueden explotar y pueden proporcionar respuestas API maliciosas de Walti.

NOTA: A partir de la publicación de este aviso, no hay solución.

CVE-2022-41231 (path traversal), CVE-2022-41232 (CSRF)
Path traversal and CSRF vulnerability in build-publisher Plugin

El complemento build-publisher 1.22 y versiones anteriores permite a los atacantes con permiso item/config crear o reemplazar cualquier archivo config.xml en el sistema de archivos del controlador Jenkins al proporcionar un nombre de archivo manipulado a un extremo de la API.

Además, este punto final no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que permite a los atacantes reemplazar cualquier archivo config.xml en el sistema de archivos del controlador Jenkins con un archivo vacío.

NOTA: A partir de la publicación de este aviso, no hay solución.

CVE-2022-41225
Stored XSS vulnerability in Anchore Container Image Scanner Plugin 

Anchore Container Image Scanner Plugin 1.0.24 y anteriores no escapan al contenido proporcionado por la API del motor de Anchore.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para controlar las respuestas de la API mediante el motor de Anchore.

CVE-2022-41226
XXE vulnerability in Compuware Common Configuration Plugin 

Compuware Common Configuration Plugin 1.0.14 y anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite que los atacantes puedan cambiar el contenido del directorio de inicio de la CLI de Topaz Workbench en los agentes para que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de datos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2022-41229
Stored XSS vulnerability in NS-ND Integration Performance Publisher Plugin 

NS-ND Integration Performance Publisher Plugin 4.8.0.134 y versiones anteriores no escapan a las opciones de configuración del paso de compilación “Ejecutar NetStorm/NetCloud Test”.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso item/config

NOTA: A partir de la publicación de este aviso, no hay solución.

CVE-2022-41239
Stored XSS vulnerability in DotCi Plugin 

DotCi Plugin 2.40.00 y versiones anteriores no escapan al parámetro de nombre de usuario de GitHub proporcionado para confirmar notificaciones cuando se muestran en una causa de compilación.

Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que los atacantes pueden explotar y enviar notificaciones de confirmación manipuladas al /githook/ final.

NOTA: A partir de la publicación de este aviso, no hay solución.

CVE-2022-41224
XSS vulnerability 

Jenkins 2.367 a 2.369 (ambos inclusive) no escapa a la información sobre herramientas del componente l:helpIcon de la interfaz de usuario que se usa para algunos íconos de ayuda en la interfaz de usuario web de Jenkins.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para controlar la información sobre herramientas de este componente.

La siguiente vulnerabilidad requiere una actualización para mitigar la falla de seguridad:

• CVE-2022-41227 (CSRF), CVE-2022-41228 (missing permission check)
  CSRF vulnerability and missing permission check in NS-ND Integration Performance Publisher Plugin 

Ninguna de las siguientes fallas tiene actualizaciones de seguridad al momento de esta publicación:

• CVE-2022-41230
  Missing permission check in build-publisher Plugin 
• CVE-2022-41242
  Missing permission check in extreme-feedback Plugin 
• CVE-2022-41236
  CSRF vulnerability in Security Inspector Plugin 
• CVE-2022-41243
  Missing hostname validation in SmallTest Plugin 
• CVE-2022-41244
  Missing hostname validation in View26 Test-Reporting Plugin 
• CVE-2022-41234
  Missing webhook endpoint authorization in Rundeck Plugin 
• CVE-2022-41233
  Missing permission checks in Rundeck Plugin 
• CVE-2022-41245 (CSRF), CVE-2022-41246 (missing permission check)
  CSRF vulnerability and missing permission check in Worksoft Execution Manager Plugin allow capturing credentials 
• CVE-2022-41235
  Path traversal vulnerability in WildFly Deployer Plugin allows reading arbitrary files 
• CVE-2022-41249 (CSRF), CVE-2022-41250 (missing permission check)
  CSRF vulnerability and missing permission check in SCM HttpClient Plugin allow capturing credentials 
• CVE-2022-41251
  Missing permission check in Apprenda Plugin allows enumerating credentials IDs 
• CVE-2022-41253 (CSRF), CVE-2022-41254 (missing permission check)
  CSRF vulnerability and missing permission checks in CONS3RT Plugin allow capturing credentials 
• CVE-2022-41252
  Missing permission checks in CONS3RT Plugin allow enumerating credentials IDs 
• CVE-2022-41241
  XXE vulnerability in RQM Plugin 
• CVE-2022-41238
  Lack of authentication mechanism in DotCi Plugin webhook 

Ninguna de las siguientes fallas tiene actualizaciones de seguridad al momento de esta publicación:

• CVE-2022-41247 (storage), CVE-2022-41248 (masking)
  API key stored in plain text by BigPanda Notifier Plugin 
• CVE-2022-41255
  API token stored in plain text by CONS3RT Plugin

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.