Trusted Design

解説:

CVE-2018-1000861について、以下の観点で解説します。

1. 脆弱性の概要

Jenkinsで使用されているStapler Webフレームワークに、意図しないJavaオブジェクトのメソッドが細工されたURLを介して呼び出される可能性があるコード実行の脆弱性が存在します。これは、stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.javaコンポーネントにおける入力検証の不備に起因します。これにより、認証されていない攻撃者が任意のJavaオブジェクトのパブリックメソッドを呼び出し、リモートで任意のコードを実行する可能性があります。

1.1 影響

この脆弱性が悪用されると、認証されていないリモートの攻撃者は、Jenkinsプロセスユーザーの権限でJenkinsサーバー上で任意のコードを実行できるようになります。これにより、サーバーの完全な乗っ取り、新しい管理者アカウントの作成、任意のシステムコマンドの実行、Jenkinsに保存されている認証情報や機密情報（SSHキー、APIトークン、データベースパスワードなど）の窃取、マルウェアや持続化メカニズムのインストール、CI/CDパイプラインの中断、接続されたシステムへの横移動、ソースコードやビルド成果物の持ち出しなど、広範な影響が生じる可能性があります。 CISA (Cybersecurity and Infrastructure Security Agency) は、この脆弱性が実際に悪用されていることを確認しており、仮想通貨マイナーであるKerberodsマルウェアの配布に利用された事例も報告されています。

1.2 深刻度

この脆弱性は「Critical（緊急）」と評価されています。

• CVSS v3.1 Base Score: 9.8 (CRITICAL)
  • Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • 攻撃経路 (AV): ネットワーク (Network)
    • 攻撃の複雑さ (AC): 低 (Low)
    • 必要な特権 (PR): 不要 (None)
    • ユーザーインタラクション (UI): 不要 (None)
    • スコープ (S): 変更なし (Unchanged)
    • 機密性 (C): 高 (High)
    • 完全性 (I): 高 (High)
    • 可用性 (A): 高 (High)
• CVSS v2.0 Base Score: 10.0 (HIGH)
• EPSS (Exploit Prediction Scoring System): 94.485% (100th percentile) この高いEPSSスコアは、脆弱性が悪用される可能性が非常に高いことを示しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

特定のOSバージョンに依存するものではなく、Jenkinsソフトウェア自体に存在する脆弱性です。

2.2 影響を受ける設定

• Jenkins:
  • Jenkins weeklyバージョン 2.153 およびそれ以前のバージョン
  • Jenkins LTSバージョン 2.138.3 およびそれ以前のバージョン
• 関連製品:
  • Red Hat OpenShift Container Platform 3.x のJenkinsパッケージも影響を受けますが、Red Hatの評価では、この脆弱性の悪用には開発者権限が必要であるとされています。

3. 影響を受けた時の兆候

• Jenkinsサーバー上での予期せぬシステムコマンドの実行。
• 知らない間に新しい管理者アカウントが作成されている。
• Jenkinsに保存されている認証情報（SSHキー、APIトークン、データベースパスワードなど）が窃取される。
• 仮想通貨マイナーなどのマルウェアがインストールされている、または永続化メカニズム（cronジョブなど）が設定されている。
• CI/CDパイプラインが中断されたり、予期せぬビルドが実行されたりする。
• Jenkinsが接続している他のシステムへの横移動の形跡。
• ソースコードやビルド成果物の外部への持ち出し。
• Jenkinsが組み込みのWinstone-Jettyサーバーで実行されている場合、認証されていないユーザーによってすべてのセッションが無効化される。
• 以前のバージョンでは、認証されていないユーザーがJenkinsコントローラーまたはエージェントプロセスの環境変数にアクセスできる。
• 以前のバージョンでは、認証されていないユーザーがACL設定をバイパスして制限された領域にアクセスできる。

4. 推奨対策

4.1 本対策

• Jenkinsのアップグレード:
  • Jenkins mainリリースラインをバージョン 2.154 以降 にアップグレードしてください。
  • Jenkins LTSリリースラインをバージョン 2.153.2 以降 (またはセキュリティアドバイザリに従い 2.138.4 または 2.150.1) にアップグレードしてください。
  • アップグレード後、Jenkinsサービスを再起動してください。
• CISAの推奨事項に従い、ベンダーの指示に基づいて更新を適用してください。

4.2 暫定回避策（緩和策）

• ネットワークアクセスの制限: ファイアウォールルール、VPN、またはネットワークセグメンテーションを使用して、Jenkinsサーバーへのネットワークアクセスを信頼できるホストとネットワークに制限してください。
• リバースプロキシ認証の導入: Apache/Nginxとmod_auth、Okta、SAMLなどのリバースプロキシ認証を実装してください。
• 不要な機能の無効化: Jenkinsの設定を通じて、不要な公開Jenkins機能（CLIアクセス、リモートAPIエンドポイントなど）を無効にしてください。
• WAFの導入: Webアプリケーションファイアウォール（WAF）ルールを実装し、URLを介して疑わしいメソッドを呼び出そうとする試みを検出し、ブロックしてください。
• 内部サービスの非公開: 内部で使用するサービスはインターネットに公開しないようにしてください。

---

参照したサイト

• CVE-2018-1000861 | CRITICAL (9.8) in Jenkins Stapler Web Framework | Vullify Vulnerability Database
• CVE-2018-1000861 Detail - NVD
• Jenkins Security Advisory 2018-12-05
• CVE-2018-1000861 - Red Hat Customer Portal
• vulhub/jenkins/CVE-2018-1000861/README.md at master · vulhub/vulhub · GitHub
• CVE-2018-1000861 - vulnerability database
• Jenkins Deserialization of Untrusted Data Vulnerability (CVE-2018-1000861) - Acunetix
• Hackers exploit Jenkins flaw CVE-2018-1000861 to Kerberods malware - Security Affairs
• CVE-2018-1000861 Observation Footprint - Bitsight
• Deserialization of Untrusted Data in Jenkins · CVE-2018-1000861 - GitHub
• Jenkins Deserialization of Untrusted Data Vulnerability (CVE-2018-1000861) - Invicti
• Return of Watchbog: Exploiting Jenkins CVE-2018-1000861 - Alibaba Cloud Community
• Jenkins < 2.121.3 / < 2.138 ACL Bypass Vulnerability (CVE-2018-1000861)
• Known Exploited Vulnerabilities Catalog | CISA