Jenkinsに深刻な脆弱性「CVE-2024-43044」が見つかる PoC公開済みのため直ちに更新を:セキュリティニュースアラート
Conviso Application Securityは、Jenkinsの重大な脆弱性「CVE-2024-43044」に関する分析結果を公表した。この脆弱性はJenkinsサーバに深刻な影響を及ぼす可能性があり、注意が必要だ。
Conviso Application Securityは2024年8月29日(現地時間)、「継続的インテグレーション/継続的デリバリー」(CI/CD)ソフトウェア「Jenkins」における深刻な脆弱(ぜいじゃく)性「CVE-2024-43044」について詳細な分析を発表した。
この脆弱性が悪用された場合、Jenkinsサーバに不正アクセスされ、システム全体のセキュリティが危険にさらされる可能性がある。
Jenkinsの脆弱性「CVE-2024-43044」、PoC公開済みのため直ちに更新を
CVE-2024-43044はJenkinsのエージェントが任意のファイルをコントローラーから読み取れる脆弱性だという。Jenkinsコントローラーとエージェント間の通信に使用される「Remoting」ライブラリーの実装に起因しており、攻撃者がこの欠陥を悪用すれば、Jenkinsコントローラーでリモートコード実行が可能となる。共通脆弱性評価システム(CVSS)v3.1のスコアは8.8で深刻度「重要」(High)と評価されている。
この脆弱性の影響を受けるJenkinsのバージョンは以下の通りだ。
- Jenkins 2.470およびこれ以前のバージョン
- Jenkins LTS 2.452.3およびこれより前のバージョン
なお、Conviso Application SecurityはCVE-2024-43044に対するPoC(概念実証)エクスプロイトも公開している。このエクスプロイトでは攻撃者がエージェントプロセスや資格情報を利用して、脆弱なJenkinsサーバに侵入してリモートコードを実行する具体的な手法が示されている。
Jenkinsはこの脆弱性に対する修正パッチをリリースしており、問題の機能に対するバリデーションが強化され、エージェントからコントローラーへの不正なアクセスが制限されるようになっている。
脆弱性が修正されたJenkinsのバージョンは以下の通りだ。
- Jenkins 2.471およびこれ以降のバージョン
- Jenkins LTS 2.452.4およびこれ以降のバージョン
- Jenkins LTS 2.462.1およびこれ以降のバージョン
Conviso Application Securityは迅速なアップデートとセキュリティ対策の実施を強く推奨しており、「今後もこの脆弱性を悪用する攻撃手法の研究が進む可能性が高い」と指摘する。Jenkinsを利用している場合、公開情報を確認するとともに、迅速に問題が修正されたバージョンにアップデートすることが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
コインチェックはどうやってゼロトラストを実現したか アーキテクチャを完全解剖
一時期バズワードとなった「ゼロトラスト」。この重要性を分かってはいてもなかなか実現できていない企業が多いのも事実だ。コインチェックが自社のゼロトラストアーキテクチャ構築の変遷と取り組みに向けた具体的なステップを示した。
“名前を言ってはいけないあのマルウェア”が登場 日本も攻撃の標的に
日本プルーフポイントは「Voldemort」(ヴォルデモート)と名付けられたマルウェアを利用したフィッシングキャンペーンを報告した。政府税務当局になりすます手法で日本をはじめ世界中の組織が標的にされている。
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口
サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。