DevOps自動化の中核を担うJenkinsで、深刻なSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755)が報告されました。対象は「jenkins/ssh-agent」Dockerイメージ(バージョン6.11.1まで)および、すでに非推奨となっている「jenkins/ssh-slave」イメージです。
この脆弱性により、同一バージョンのDockerイメージから作成されるすべてのコンテナが、同じSSHホストキーを共有してしまう可能性があります。
脆弱性の対象バージョン
-
jenkins/ssh-agent: バージョン6.11.1以下 -
jenkins/ssh-slave: 全バージョン(非推奨)
なお、公式でもjenkins/ssh-slave は非推奨となり、更新されません。代わりに jenkins/ssh-agent を使用してください。 と記載されています。
脆弱性の対策バージョン
jenkins/ssh-agentバージョン6.11.2以上
脆弱性の概要
イメージ作成時に生成されたSSHホストキーが削除されないまま残存し、同一イメージで作られた全コンテナが、同一のホストキーを使用されるという挙動により、攻撃者がJenkinsコントローラー(SSHクライアント)とビルドエージェント(SSHサーバ)の通信経路に割り込めば、なりすましが可能になります。
SSHはホストキーを信頼の基盤としていますが、それが再利用されることでこの前提が崩壊し、次のようなリスクが生じます。
想定される攻撃シナリオ
-
ビルド成果物の盗聴・改ざん
-
ビルド時に使用される機密情報(認証情報やトークン)の窃取
-
CI/CDパイプラインへのマルウェア注入やバックドアの埋め込み
これらはすべて、ソフトウェアサプライチェーンに対する重大な脅威となります。
関連記事
Jenkins の脆弱性がランサムウェア 攻撃に悪用(CVE-2024-23897)
Juniper(ジュニパー)深刻な脆弱性で緊急アップデートをリリース(CVE-2024-2973)
Jenkins、暗号化された秘密情報の漏洩やクロスサイトリクエストフォージェリ (CSRF) などの複数の脆弱性を修正
Jenkinsの脆弱性(CVE-2024-43044)を悪用するPOCのエクスプロイトコードが公開
WordPressのプラグイン「The Events Calendar」でSQLインジェクションの脆弱性が発見(CVE-2024-8275)
BeyondTrustのPrivilege Management for Windowsに重大な脆弱性(CVE-2025-0889)
100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)
OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387)
パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告