Jenkins publica aviso de seguridad que afecta a múltiples complementos

El servidor Jenkins, publicó un aviso de seguridad que contiene 35 vulnerabilidades que se clasifican en 20 de severidad Alta, 12 de severidad Media y 3 de severidad Baja. 

CVE-2022-43401, CVE-2022-43402, CVE-2022-43402, CVE-2022-43404 [CVSSv3: 8.8]
Vulnerabilidades de elusión de sandbox en el complemento de seguridad de secuencias de comandos y en Pipeline: Complemento Groovy 

El complemento de seguridad de secuencias de comandos proporciona una función de espacio aislado que permite a los usuarios con pocos privilegios definir secuencias de comandos, incluidas las canalizaciones, que generalmente son seguras de ejecutar. Las llamadas al código definido dentro de un script de espacio aislado se interceptan y se verifican varias listas de permitidos para determinar si se debe permitir la llamada.

Estas vulnerabilidades permiten a los atacantes con permiso para definir y ejecutar scripts de espacio aislado, incluidas las canalizaciones, para eludir la protección del espacio aislado y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

• NOTA: Ambos complementos, Script Security Plugin y Pipeline: Groovy Plugin deben actualizarse simultáneamente. Si bien el complemento de seguridad de secuencias de comandos podría actualizarse de forma independiente, hacerlo provocaría errores en Pipeline: Complemento Groovy debido a un cambio de API incompatible.

CVE-2022-43405, CVE-2022-43406  [CVSSv3: 8.8]
Vulnerabilidad de omisión de sandbox en Pipeline: Complemento de bibliotecas Groovy y Pipeline: Complemento de bibliotecas Groovy obsoleto

Esta vulnerabilidad permite a los atacantes con permiso definir bibliotecas de Pipeline que no son de confianza y definir y ejecutar Pipelines en espacio aislado, para eludir la protección del espacio aislado y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

CVE-2022-43407  [CVSSv3: 8.0]
La protección CSRF para cualquier URL se puede omitir en Pipeline: Input Step Plugin 

El complemento de paso de entrada 451.vf1a_a_4f405289 y versiones anteriores no restringe ni desinfecta el ID especificado opcionalmente del paso input. Este ID se usa para las URL que procesan las interacciones del usuario para el paso input dado (continuar o cancelar) y no está codificado correctamente.

Esto permite a los atacantes configurar Pipelines para que Jenkins construya direcciones URL a partir de pasos input ID que evitarían la protección CSRF de cualquier URL de destino en Jenkins cuando input se interactúe con el paso.

CVE-2022-43408 [CVSSv3: 8.0]
La protección CSRF para cualquier URL se puede omitir en Pipeline: Stage View Plugin

Pipeline: Stage View Plugin proporciona una visualización de las compilaciones de Pipeline. También permite a los usuarios interactuar con los pasos input de Pipeline:Input Step Plugin.

Esto permite a los atacantes configurar Pipelines para especificar pasos de  input ID que den como resultado URL que evitarían la protección CSRF de cualquier URL de destino en Jenkins.

• NOTA: Esta vulnerabilidad solo se puede explotar con Pipeline: Input Step Plugin 451.vf1a_a_4f405289 o anterior debido a la corrección de SECURITY-2880

CVE-2022-43409 [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en Pipeline: Complemento de API de soporte 

El complemento de API de soporte proporciona una función para agregar hipervínculos, que envían solicitudes POST cuando se hace clic, para crear registros. Estos enlaces son utilizados por Pipeline: input Step Plugin para permitir que los usuarios continúen o cancelen la compilación, o por Pipeline: Job Plugin para permitir que los usuarios finalicen por la fuerza la compilación después de cancelarla.

CVE-2022-43415 [CVSSv3: 7.1]
Vulnerabilidad XXE en el complemento REPO 

REPO Plugin 1.15.0 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite a los atacantes controlar qué repo binario se ejecuta en los agentes para que Jenkins analice un documento XML elaborado que utiliza entidades externas para la extracción de datos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.

REPO Plugin 1.16.0 deshabilita la resolución de entidades externas para su analizador XML.

CVE-2022-43416 [CVSSv3: 8.8]
Vulnerabilidad de omisión de seguridad de agente a controlador en Katalon Plugin 

Permite a los atacantes ser capaces de controlar los procesos del agente para invocar a Katalon en el controlador Jenkins con la versión, la ubicación de instalación y los argumentos controlados por el atacante. Los atacantes que además pueden crear archivos en el controlador Jenkins (p. ej., los atacantes con permiso Item/Configure podrían archivar artefactos) pueden invocar comandos arbitrarios del sistema operativo.

• NOTA: Esta vulnerabilidad solo se puede explotar en Jenkins 2.318 y versiones anteriores, LTS 2.303.2 y versiones anteriores. 

CVE-2022-43420 [CVSSv3: 7.5]
Vulnerabilidad XSS almacenada en Contrast Continuous Application Security Plugin 

Contrast Continuous Application Security Plugin 3.9 y versiones anteriores no escapan a los datos devueltos por el servicio de Contrast al generar un informe.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para controlar o modificar las respuestas de la API del servicio Contrast.

CVE-2022-43425 [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en el complemento de parámetros de casilla de verificación personalizada 

La explotación de esta vulnerabilidad requiere que los parámetros se enumeren en otra página, como las páginas "Construir con parámetros" y "Parámetros" proporcionadas por Jenkins (núcleo), y que esas páginas no estén reforzadas para evitar la explotación. Jenkins (núcleo) ha impedido la explotación de vulnerabilidades de este tipo en las páginas "Construir con parámetros" y "Parámetros" desde 2.44 y LTS 2.32.2 como parte de la corrección SECURITY-353/CVE-2017-2601. Además, varios complementos se han actualizado previamente para enumerar parámetros de una manera que evita la explotación de forma predeterminada.

• NOTA: A partir de la publicación de este aviso, no hay solución.

CVE-2022-43428, CVE-2022-43429 [CVSSv3: 7.5]
Vulnerabilidades de omisión de seguridad de agente a controlador en Compuware Topaz para Total Test Plugin 

Compuware Topaz para Total Test Plugin 2.4.8 y versiones anteriores implementan dos mensajes de agente/controlador que no limitan dónde se pueden ejecutar.

RemoteSystemProperties permite a los atacantes controlar los procesos de los agentes para obtener los valores de las propiedades del sistema Java del proceso del controlador Jenkins (CVE-2022-43428).

GetRemoteUTF8FileContents permite que los atacantes puedan controlar los procesos del agente para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins (CVE-2022-43429).

• NOTA:
  • Estas vulnerabilidades solo se pueden explotar en Jenkins 2.318 y versiones anteriores, LTS 2.303.2 y versiones anteriores. Consulte la guía de actualización de LTS .
  • A partir de la publicación de este aviso, no hay solución. 

CVE-2022-43430 [CVSSv3: 7.1]
Vulnerabilidad XXE en Compuware Topaz para Total Test Plugin 

Compuware Topaz para Total Test Plugin 2.4.8 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite a los atacantes controlar los archivos de entrada para el paso de compilación 'Topaz for Total Test - Ejecutar escenarios de prueba total' para que Jenkins analice un documento XML elaborado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor. .

• NOTA: A partir de la publicación de este aviso, no hay solución. 

CVE-2022-43432 [CVSSv3: 8.8]
Protección de política de seguridad de contenido para contenido de usuario deshabilitado por XFramium Builder Plugin 

Jenkins establece el encabezado Content-Security-Policy en archivos estáticos proporcionados por Jenkins (específicamente DirectoryBrowserSupport), como espacios de trabajo /userContent o artefactos archivados, a menos que se especifique una URL raíz de recursos.

XFramium Builder Plugin 1.0.22 y anteriores deshabilitan globalmente el  encabezado Content-Security-Policy de los archivos estáticos servidos por Jenkins tan pronto como se carga. Esto permite ataques de secuencias de comandos entre sitios (XSS) por parte de usuarios con la capacidad de controlar archivos en espacios de trabajo, artefactos archivados.

• NOTA:
  • Las instancias de Jenkins con la URL raíz de recursos configurada no se ven afectadas.
  • A partir de la publicación de este aviso, no hay solución.

CVE-2022-43433 [CVSSv3: 8.0]
Protección de política de seguridad de contenido para contenido de usuario deshabilitado por el complemento ScreenRecorder 

Jenkins establece el encabezado Content-Security-Policy en archivos estáticos proporcionados por Jenkins (específicamente DirectoryBrowserSupport), como espacios de trabajo /userContent o artefactos archivados, a menos que se especifique una URL raíz de recursos.

ScreenRecorder Plugin 0.7 y versiones anteriores actualizan mediante programación la propiedad del sistema Java, lo que permite a los administradores personalizar el encabezado Content-Security-Policy de los archivos estáticos proporcionados por Jenkins para incluir archivos media-src: 'self'. En una instancia de Jenkins con configuración predeterminada, esto deshabilita efectivamente todas las demás directivas en el conjunto de reglas predeterminado, incluido script-src. Esto permite ataques de secuencias de comandos entre sitios (XSS) por parte de usuarios con la capacidad de controlar archivos en espacios de trabajo, artefactos archivados, etc.

• NOTA:
  • Las instancias de Jenkins con la URL raíz de recursos configurada no se ven afectadas.
  • A partir de la publicación de este aviso, no hay solución. 

CVE-2022-43434 [CVSSv3: 8.0]
Protección de política de seguridad de contenido para contenido de usuario deshabilitado por NeuVector Vulnerability Scanner Plugin 

Jenkins establece el encabezado Content-Security-Policy en archivos estáticos proporcionados por Jenkins (específicamente DirectoryBrowserSupport), como espacios de trabajo /userContent o artefactos archivados, a menos que se especifique una URL raíz de recursos.

NeuVector Vulnerability Scanner Plugin 1.20 y versiones anteriores deshabilitan globalmente el encabezado Content-Security-Policy de los archivos estáticos servidos por Jenkins cada vez que se ejecuta el paso de compilación 'NeuVector Vulnerability Scanner'. Esto permite ataques de secuencias de comandos entre sitios (XSS) por parte de usuarios con la capacidad de controlar archivos en espacios de trabajo, artefactos archivados, etc.

• NOTA:
  • Las instancias de Jenkins con la URL raíz de recursos configurada no se ven afectadas.
  • A partir de la publicación de este aviso, no hay solución. 

CVE-2022-43435 [CVSSv3: 8.0]
La protección de la política de seguridad de contenido para el contenido del usuario se puede deshabilitar en el complemento 360 FireLine 

Jenkins establece el encabezado Content-Security-Policy en archivos estáticos proporcionados por Jenkins (específicamente DirectoryBrowserSupport), como espacios de trabajo /userContent o artefactos archivados, a menos que se especifique una URL raíz de recursos.

360 FireLine Plugin 1.7.2 y versiones anteriores deshabilitan globalmente el encabezado Content-Security-Policy de los archivos estáticos servidos por Jenkins cada vez que se ejecuta el paso de compilación 'Ejecutar FireLine', si la opción 'Acceso abierto a HTML con JS o CSS' está marcada. Esto permite ataques de secuencias de comandos entre sitios (XSS) por parte de usuarios con la capacidad de controlar archivos en espacios de trabajo, artefactos archivados, etc.

• NOTA:
  • Las instancias de Jenkins con la URL raíz de recursos configurada no se ven afectadas.
  • A partir de la publicación de este aviso, no hay solución. 

• CVE-2022-43421 [CVSSv3: 5.3]
  Falta de mecanismo de autenticación de webhook en Tuleap Git Branch Source Plugin 
• CVE-2022-43410 [CVSSv3: 5.3]
  El extremo del webhook revela los nombres de los trabajos a usuarios no autorizados en Mercurial Plugin
• CVE-2022-43414 [CVSSv3: 5.3]
  Vulnerabilidad de omisión de seguridad de agente a controlador en NUnit Plugin 
• CVE-2022-43413 [CVSSv3: 4.3]
  La verificación de permisos faltantes en el complemento de importación de trabajos permite enumerar ID de credenciales 
• CVE-2022-43419 [CVSSv3: 4.3]
  Claves API almacenadas en texto sin formato por Katalon Plugin 
• CVE-2022-43422 [CVSSv3: 4.3]
  Vulnerabilidad de omisión de seguridad de agente a controlador en Compuware Topaz Utilities Plugin 
• CVE-2022-43423 [CVSSv3: 4.3]
  Vulnerabilidad de omisión de seguridad de agente a controlador en la descarga de código fuente de Compuware para Endevor, PDS e ISPW Plugin
• CVE-2022-43424 [CVSSv3: 4.3]
  Vulnerabilidad de omisión de seguridad de agente a controlador en el complemento de cobertura de código de Compuware Xpediter 
• CVE-2022-43427 [CVSSv3: 4.3]
  Las verificaciones de permisos faltantes en Compuware Topaz para el complemento de prueba total permiten enumerar ID de credenciales
• CVE-2022-43431 [CVSSv3: 4.3]
  La verificación de permisos faltantes en el complemento de medición estroboscópica de Compuware permite enumerar ID de credenciales
• CVE-2022-43417 [CVSSv3: 4.2]
  Las verificaciones de permisos faltantes en Katalon Plugin permiten capturar credenciales 
• CVE-2022-43418 [CVSSv3: 4.2]
  Vulnerabilidad CSRF en Katalon Plugin permite capturar credenciales 

• CVE-2022-43411[CVSSv3: 3.7]
  Comparación de token de webhook de tiempo no constante en GitLab Plugin 
• CVE-2022-43412 [CVSSv3: 3.7]
  Comparación de tokens de webhook de tiempo no constante en el complemento Generic Webhook Trigger 
• CVE-2022-43426 [CVSSv3: 3.1]
  Datos de AWS mostrados sin enmascaramiento por S3 Explorer Plugin

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.