Jenkinsの脆弱性(CVE-2024-43044)を悪用するPOCのエクスプロイトコードが公開

セキュリティニュース

投稿日時: 更新日時:

Jenkinsの脆弱性(CVE-2024-43044)を悪用するPOCのエクスプロイトコードが公開

2024年8月に Jenkinsで危険度の高い脆弱性(CVE-2024-43044)が発生しました。今回海外のセキュリティ企業が本脆弱性を悪用したPOCのエクスプロイトコードが公開しています。

Jenkinsの脆弱性 CVE-2024-43044の概要

RemotingライブラリのClassLoaderProxy#fetchJarのメソッドを使用して、エージェントプロセスがコントローラのファイルシステムから任意のファイルを読み取ることができます。

Jenkins エージェントをハイジャックできた場合に、これをさらに悪用して Jenkinsのコントローラーでリモート コード実行をする事が可能になります。

バージョン

Jenkins 2.470を含む以前のバージョンとLTS 2.452.3を含む以前のバージョン

POCのエクスプロイトコードが公開中

セキュリティコンサルティング企業の「Conviso」がJenkinsの脆弱性 CVE-2024-43044のPOCのエクスプロイトコードを公開中で、

脆弱性を利用してファイルを読み取り、管理者アカウントの remember-me クッキーを偽造し、Jenkins スクリプト エンジンにアクセスします。

対策

パッチの適用や緩和策の反映