Do not speak Portuguese? Translate this site with Google or Bing Translator

Jenkins anunciou dezenas de bugs zero-day em vários plugins

O projeto Jenkins anunciou dezenas de bugs zero-day em vários plugins, que infelizmente, ainda não possuem uma correção.

Jenkins é uma plataforma altamente popular (com suporte para mais de 1.700 plugins) usada por empresas em todo o mundo para construir, testar e implantar software.

Na quinta-feira (30/06), a equipe de segurança Jenkins anunciou 34 vulnerabilidades de segurança que afetam 29 plugins para o servidor de automação de código aberto Jenkins, 29 dos bugs sendo zero-days ainda esperando para serem corrigidos.

Jenkins anunciou dezenas de bugs zero-day em vários plugins

Jenkins anunciou dezenas de bugs zero-day em vários plugins
Jenkins anunciou dezenas de bugs zero-day em vários plugins

As pontuações básicas do CVSS de zero-day variam de gravidade baixa a alta e, de acordo com as estatísticas de Jenkins, os plug-ins afetados têm um total de mais de 22.000 instalações.

A lista completa de falhas ainda a serem corrigidas inclui bugs de XSS, XSS armazenado, Cross-Site Request Forgery (CSRF), verificações de permissão ausentes ou incorretas, bem como senhas, segredos, chaves de API e tokens armazenados em texto simples.

Felizmente, a maioria dos perigosos, os zero-days de alta gravidade, exigem que a interação do usuário seja explorada em ataques de baixa complexidade por invasores remotos com baixos privilégios.

Com base nos dados da Shodan, existem atualmente mais de 144.000 servidores Jenkins expostos à Internet que podem ser alvo de ataques se executarem um plug-in sem patch.

Jenkins anunciou dezenas de bugs zero-day em vários plugins
Jenkins anunciou dezenas de bugs zero-day em vários plugins – Servidores Jenkins expostos à Internet (Shodan)

Embora a equipe do Jenkins tenha corrigido quatro dos plugins (ou seja, GitLab, requests-plugin, TestNG Results, XebiaLabs XL Release), ainda há uma longa lista de plugins vulneráveis, incluindo:

  • Build Notifications Plugin até e incluindo 1.5.0
  • build-metrics Plugin até e incluindo 1.3
  • Cisco Spark Plugin até e incluindo 1.1.1
  • Deployment Dashboard Plugin até e incluindo 1.0.10
  • Elasticsearch Query Plugin até e incluindo 1.2
  • eXtreme Feedback Panel Plugin até e incluindo 2.0.1
  • Failed Job Deactivator Plugin até e incluindo 1.2.1
  • GitLab Plugin até e incluindo 1.5.34
  • HPE Network Virtualization Plugin até e incluindo 1.0
  • Jigomerge Plugin até e incluindo 0.9
  • Matrix Reloaded Plugin até e incluindo 1.1.3
  • OpsGenie Plugin até e incluindo 1.9
  • Plot Plugin até e incluindo 2.1.10
  • Project Inheritance Plugin até e incluindo 21.04.03
  • Recipe Plugin até e incluindo 1.2
  • Request Rename Or Delete Plugin até e incluindo 1.1.0
  • requests-plugin Plugin até e incluindo 2.2.16
  • Rich Text Publisher Plugin até e incluindo 1.4
  • RocketChat Notifier Plugin até e incluindo 1.5.2
  • RQM Plugin até e incluindo 2.8
  • Skype notifier Plugin até e incluindo 1.1.0
  • TestNG Results Plugin até e incluindo 554.va4a552116332
  • Validating Email Parameter Plugin até e incluindo 1.10
  • XebiaLabs XL Release Plugin até e incluindo 22.0.0
  • XPath Configuration Viewer Plugin até e incluindo 1.1.1

“Até a publicação deste comunicado, não há correção”, disse a equipe de segurança do Jenkins ao descrever as vulnerabilidades não corrigidas.

Embora nenhuma das vulnerabilidades seja de gravidade crítica que possa permitir que os agentes de ameaças executem códigos ou comandos remotamente em servidores vulneráveis ​​para controlá-los, eles podem ser alvo de ataques contra redes corporativas.

Esta não seria a primeira vez que isso aconteceria desde que os servidores Jenkins sem patches foram comprometidos antes para minerar a criptomoeda Monero.

No entanto, os invasores em potencial provavelmente explorarão esses bugs zero-day em ataques de reconhecimento, permitindo que obtenham mais informações sobre a infraestrutura de uma empresa-alvo.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.