
2024年8月に Jenkinsで危険度の高い脆弱性(CVE-2024-43044)が発生しました。今回海外のセキュリティ企業が本脆弱性を悪用したPOCのエクスプロイトコードが公開しています。
Jenkinsの脆弱性 CVE-2024-43044の概要
RemotingライブラリのClassLoaderProxy#fetchJarのメソッドを使用して、エージェントプロセスがコントローラのファイルシステムから任意のファイルを読み取ることができます。
Jenkins エージェントをハイジャックできた場合に、これをさらに悪用して Jenkinsのコントローラーでリモート コード実行をする事が可能になります。
バージョン
Jenkins 2.470を含む以前のバージョンとLTS 2.452.3を含む以前のバージョン
POCのエクスプロイトコードが公開中
セキュリティコンサルティング企業の「Conviso」がJenkinsの脆弱性 CVE-2024-43044のPOCのエクスプロイトコードを公開中で、
脆弱性を利用してファイルを読み取り、管理者アカウントの remember-me クッキーを偽造し、Jenkins スクリプト エンジンにアクセスします。

対策
パッチの適用や緩和策の反映