継続的インテグレーションおよびデリバリー (CI/CD) 用のオープンソース自動化サーバー Jenkins は、ソフトウェアを拡張するために使用される 25 個のプラグインを対象とした 34 件のセキュリティ アドバイザリを公開しました。
勧告のうち 11 件は重大度が高く、14 件は中程度、9 件は重大度が低いと評価されています。
説明されている脆弱性には、クロスサイト スクリプティング (XSS)、プレーンテキストで保存されるパスワード、API キー、シークレット、トークン、クロスサイト リクエスト フォージェリ (CSRF)、および権限チェックの欠如と不正確さが含まれます。
影響を受けるプラグインは次のとおりです:
ソフォスの上級脅威研究者ショーン・ギャラガー氏は、The Registerに対し、脆弱性は個別に見れば大きな懸念事項ではないと語った。
全体として、攻撃対象領域は非常に広い
「しかし全体として見ると、攻撃対象領域は非常に広い」とギャラガー氏は述べ、多くの組織がクラウドのジェンキンスインスタンスのセキュリティ保護に特に熱心ではないと付け加えた。
同氏によると、Jenkins は非常に一般的であり、サポートが不十分なオープンソース プラットフォームのもう一つの例とみなすことができるという。
「最も懸念されるのは、そのうちどれだけが未解決の問題なのかということだ」とギャラガー氏は語った。
実際、引用された 25 個のプラグインのうち 21 個については修正プログラムが用意されていません。
6月30日のアドバイザリは、6月22日の同様のアドバイザリに続くもので、28個のプラグインとJenkinsコアソフトウェアを対象としています。これらのプラグインのうち14個については、修正プログラムがまだ提供されていません。
「こうした種類の欠陥は珍しいことではない。NCCグループの過去の調査では、100以上のJenkinsプラグインに脆弱性が見つかった」と、セキュリティコンサルタント会社NCCグループの上級副社長兼グローバルリサーチ責任者のジェニファー・ファーニック氏はThe Registerへの電子メールで述べた。
「懸念されるのは、本日の勧告に記載されている重大度の高い脆弱性のいくつかにはパッチがないため、これらのプラグインを使用している開発チームは攻撃に対して完全に無防備な状態になっていることです。
「Jenkins などの自動化ツールは高度な権限を必要とする性質があり、安全でない CI/CD パイプラインによってソフトウェア開発プロセス中にサプライ チェーン攻撃が可能になる可能性があることを考えると、これは特に懸念されます。」
CIOの多くは自社のソフトウェアサプライチェーンが脆弱だと考えている
続きを読む
NCC は今年初めの記事で、クライアントのセキュリティ評価中に Jenkins やその他の CI/CD システムを侵害した 10 件の攻撃について説明しました。
NCCによると、これらの攻撃は、デフォルトの設定、過度に寛容な権限と役割、セキュリティ管理の欠如、システムのセグメント化の欠如など、ほとんど同じ根本原因によって可能になったという。
セキュリティ企業は、認証と認可のためにJenkinsに導入されたGitHub OAuthプラグインを悪用した攻撃について説明しています。このプラグインはREAD認証済みユーザー全員に権限を付与しており、「GitHubリポジトリの権限を使用する」オプションがオンになっていたため、GitHubアカウントを持つすべてのユーザーがJenkinsのWebログインインターフェースにアクセスできていました。そのため、NCCの研究者は個人でホストされているメールアカウントを登録し、それを使用してクライアントのプロジェクトにアクセスすることができました。
NCCの投稿では、「CI/CDパイプラインは複雑な環境です」と説明されています。「この複雑さから、スタック全体を保護するためには、体系的かつ包括的なレビューが必要です。多くの場合、企業にはCI/CDパイプラインを保護するために必要な時間、セキュリティに関する専門知識、そして人材が不足しています。」
「基本的に、CI/CD パイプラインはリモート コード実行であり、適切に構成する必要があります。」®
