Meerdere kwetsbaarheden ontdekt in Jenkins Server software
Referentie:
Advisory #2018-30
Versie:
1.0
Geïmpacteerde software:
Jenkins weekly versie 2.137 of ouder Jenkins LTS 2.121.2
Type:
Deserialization
CVE/CVSS:
- CVE-2018-1999001
- CVE-2018-1999043
Datum:
20/12/2018
Bronnen
- https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/
- https://jenkins.io/security/advisory/2018-07-30/
Risico’s
CVE-2018-1999001 Een aanvaller kan na het succesvol exploiteren van de kwetsbaarheid zich als beheerder op een Jenkins server registreren. De aanvaller heeft hierna toegang tot de broncode met lees- en schrijfrechten.
CVE-2018-1999043 Een aanvaller kan na het succesvol exploiteren van de kwetsbaarheid tijdelijke gebruikersnamen creeëren om toegant te verkrijgen tot de Jenkins servers.
Cybercriminelen hebben in het verleden gebruik gemaakt van Jenkins servers, eerder dit jaar exploiteerde een groep CVE-2017-1000353 om wereldwijd Monero mining malware te installeren op Jenkins servers.
Aanbevolen acties
CERT.be raadt gebruikers aan om hun systemen altijd up-to-date te houden.
Updates zijn te vinden op: https://jenkins.io/download/