Se ha descubierto una falla de seguridad crítica en las imágenes de Jenkins Docker ampliamente utilizadas y podría comprometer las tuberías de construcción en miles de organizaciones.
Una vulnerabilidad revelada en Jenkins Security Advisory el 10 de abril de 2025 afecta el manejo clave de los anfitriones SSH para imágenes específicas de Docker, lo que permite a los atacantes realizar ataques intermedios en el entorno de construcción de Jenkins.
Este problema, rastreado como CVE-2025-32754 y CVE-2025-32755, afecta todas las versiones de las imágenes de Docker Jenkins/SSH-Agent (versión que contiene 6.11.1) e imágenes de escasas Jenkins/SSH.
Jenkins Docker Images Vulnerabilidad
La vulnerabilidad se debe a la clave de host SSH generada durante la creación de imágenes, no al lanzamiento de contenedores de imágenes con sede en Debian.
“Como resultado, todos los contenedores basados en la misma versión de la imagen están utilizando la misma tecla de host SSH”, advierte el aviso.
Esto socava fundamentalmente el modelo de seguridad SSH. SSH está destinado a que la clave del host identifique de manera única el servidor y establezca una relación de confianza.
El proyecto Jenkins acredita al investigador de seguridad Abhishek Reddypalle por descubrir e informar esta vulnerabilidad
A continuación se muestra una descripción general de la vulnerabilidad:
CSIFTECTECTECTED compateXPLOIT PrererequisitesCVSS 3.1 Scorecve-2025-32754Jenkins SSH-Agent Docker Imágenes (Versión ≤6.11.1) ataques medios, ataques de man-in Docker Images (Debian con sede en Debian) Ataques medios medios, acceso no autorizado, clientes SSH (controlador Jenkins) y SSH Build Agent 9.1 (crítica)
Imágenes afectadas
La vulnerabilidad está afectando particularmente estas variantes de imagen.
Jenkins/SSH-Agent:
Todas las etiquetas no especifican explícitamente un sistema operativo que contenga todos los sufijos -jdk* y -jdk* -preview (antes de 2025-04-10). Todas las imágenes, incluidas Debian, Stretn, Bullsey o Bookworm (antes de 2025-04-10).
Jenkins/SSH-Slave (en desuso):
Etiquetas más recientes, JDK11, último-JDK11, Revert-22-JDK11-Jenkins-52279. Las variantes de base, ventana y nanoservadores alpinas no se ven afectadas por esta vulnerabilidad.
Vector de ataque y choque
Esta vulnerabilidad hace que un atacante que pueda interceptar el tráfico de red entre el controlador Jenkins y el agente de construcción de SSH se haga pasar por un agente legítimo sin desencadenar una advertencia de confiabilidad SSH.
Este vector de ataque puede conducir a graves consecuencias como:
Credenciales o cosechas secretas utilizadas durante la intercepción de artefactos de compilación o cambiar las credenciales o las cosechas secretas se inyectan en la cartera de compilación de código malicioso
Dichos ataques son de particular preocupación en los entornos de CI/CD donde el proceso de construcción se ha visto comprometido.
El proyecto Jenkins ha lanzado las imágenes Jenkins/SSH-Agent actualizadas con la versión 6.11.2.
“Las imágenes de Docker basadas en Jenkins/SSH-Agent 6.11.2 Debian eliminarán la tecla de host SSH generada automáticamente creada durante la creación de imágenes. La nueva tecla de host se genera en el primer inicio del contenedor”.
Los administradores pueden verificar que están ejecutando la versión de parche inspeccionando la imagen Docker. El comportamiento parcheado genera una clave de host SSH única para cada instancia de contenedor, en lugar de reutilizar la misma clave en todas las implementaciones.
Las organizaciones deben actualizar las imágenes de Docker a esta versión de inmediato. Las imágenes de Jenkins/SSH-Slave en desuso no recibirán actualizaciones. Los usuarios deben migrar a Jenkins/SSH-Agent en su lugar.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
