【已复现】Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)安全风险通告

奇安信CERT · 公众号 · 科技自媒体互联网安全 · 2024-09-03 16:30

正文

● 点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	Jenkins Remoting 任意文件读取漏洞
漏洞编号	QVD-2024-35669,CVE-2024-43044
公开时间	2024-08-07	影响量级	万级
奇安信评级	高危	CVSS 3.1分数	8.8
威胁类型	代码执行	利用可能性	中
POC状态	已公开	在野利用状态	未发现
EXP状态	已公开	技术细节状态	已公开
危害描述：拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件（如凭证、配置文件等敏感信息）并进一步利用导致远程代码执行。

漏洞详情

>>>>

影响组件

Jenkins是一个开源的、提供持续集成服务（CI）的软件平台。Jenkins 使用 Remoting 库（通常为agent.jar或remoting.jar）实现控制器与代理之间的通信，该库允许代理从控制器加载类和类加载器资源，以便从控制器发送的 Java 对象（构建步骤等）可以在代理上执行。

>>>>

漏洞描述

近日，奇安信CERT监测到Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)，由于Remoting库ClassLoaderProxy#fetchJar方法没有限制代理请求从控制器文件系统读取的路径，可能导致拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件（如凭证、配置文件等敏感信息）并进一步利用导致远程代码执行。目前该漏洞PoC已在互联网上公开，建议客户尽快做好自查及防护。

影响范围

>>>>

影响版本

Jenkins <= 2.470

Jenkins LTS <= 2.452.3

>>>>

其他受影响组件

无

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)，截图如下：

受影响资产情况

奇安信鹰图资产测绘平台数据显示，Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)关联的国内风险资产总数为138868个，关联IP总数为57359个。国内风险资产分布情况如下：

Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)关联的国内风险资产总数为358428个，关联IP总数为209627个。全球风险资产分布情况如下：

处置建议

>>>>

安全更新

目前官方已发布安全更新，建议受影响用户升级至最新版本：

Jenkins 2.471、LTS 2.452.4、LTS 2.462.1或更高版本

官方下载地址：

https://www.jenkins.io/download/

>>>>

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Jenkins Remoting任意文件读取漏洞(CVE-2024-43044)的防护。

奇安信开源卫士已支持

奇安信开源卫士20240903.712 版本已支持对Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044)的检测。

奇安信自动化渗透测试系统检测方案

奇安信自动化渗透测试系统已经能够有效检测针对该漏洞的攻击，请将插件版本和指纹版本升级到202409063600以上版本。规则名称：Jenkins Remoting CVE-2024-43044 任意文件读取漏洞。奇安信自动化渗透测试系统规则升级方法：系统管理->升级管理->插件升级（指纹升级），选择“网络升级”或“本地升级”。

参考资料

[1]https://www.jenkins.io/security/advisory/2024-08-07/

时间线

2024年9月3日，奇安信 CERT发布安全风险通告。

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

漏洞订阅上线.png