【安全资讯】CVE-2024-43044：关键Jenkins漏洞暴露服务器至远程代码执行，PoC利用代码已发布

概要：

近期，Conviso Labs的安全研究人员发布了关于Jenkins中关键CVE-2024-43044漏洞的技术细节及其概念验证（PoC）利用代码。Jenkins作为许多开发流程的重要组成部分，成为攻击者的主要目标。一旦被攻击，Jenkins服务器可能成为大规模损害的发起点，包括凭证盗窃、未经授权的代码修改和部署中断。

主要内容：

CVE-2024-43044被归类为任意文件读取漏洞，允许代理从Jenkins控制器读取文件。该漏洞的根本原因在于Jenkins允许控制器向其代理传输JAR文件的功能。由于ClassLoaderProxy#fetchJar方法未能限制代理请求的文件路径，导致控制器文件系统的未经授权访问成为可能。

研究人员详细分析了该漏洞的利用过程，攻击者首先利用hudson.remoting.RemoteClassLoader，从远程对等体加载类文件。通过此方法，攻击者访问与hudson.remoting.RemoteInvocationHandler相关联的Proxy对象，进而调用fetchJar方法，触发对控制器的远程过程调用（RPC）。

在控制器端，fetchJar方法在未验证用户控制的URL的情况下读取资源，这一关键疏漏使攻击者能够绕过Agent -> Controller访问控制系统。利用该漏洞，攻击者可以读取控制器中的关键文件，伪造用户的“记住我”cookie，最终获得对Jenkins脚本引擎的访问权限，并执行系统命令。此漏洞已在Jenkins 2.471版本及长期支持（LTS）版本中得到修复，建议使用Jenkins的组织立即更新以降低风险。