Vulnerabilità critiche su JumpServer

PROTO: N240410

CERT-Yoroi informa che sono state rese note due vulnerabilità critiche su JumpServer che consentono agli aggressori di eseguire del codice da remoto arbitrario sul modulo Ansible.

JumpServer è un sistema open-source per la gestione degli accessi privilegiati (PAM) che consente un controllo granulare e sicuro sull'accesso remoto ai sistemi e ai dispositivi di rete. Quest’ultimo si integra con Ansible, una piattaforma open-source di automazione per le infrastrutture IT, che utilizza moduli e playbook YAML per definire ed eseguire task su host remoti. La combinazione di JumpServer con Ansible permette di gestire in modo sicuro l'accesso agli host su cui Ansible opera, garantendo che solo utenti autorizzati possano eseguire operazioni automatizzate.
Nello specifico, le vulnerabilità si strutturano nel seguente modo:

• CVE-2024-29201: Essa consente ad un utente malintenzionato, autenticato sul sistema vittima con un account user con privilegi limitati, di bypassare il meccanismo di convalida dell'input nel modulo Ansible di JumpServer. Ciò permette l’esecuzione di codice arbitrario all'interno del Celery container, un'istanza containerizzata del framework Celery, utilizzata per eseguire l'elaborazione asincrona dei task all'interno dell'ambiente di automazione. Poiché il Celery container viene eseguito con privilegi root e ha accesso al database, un aggressore potrebbe sfruttare tale falla per accedere e carpire informazioni sensibili da tutti gli host o per manipolare il database;
• CVE-2024-29202: Un potenziale aggressore, usufruendo di un account user con privilegi limitati autenticato sul sistema vittima, può sfruttare questa vulnerabilità di injection del template Jinja2, componente che consente la generazione dinamica di file di configurazione o testo durante l'esecuzione delle automazioni, nel modulo Ansible di JumpServer. Creando un template di Playbook dannoso, un utente malintenzionato può eseguire codice arbitrario all'interno del Celery container e di accedere ai dati sensibili dagli host o alterare il database.

Ad oggi non sono stati registrati tentativi di exploit in the wild di tali vulnerabilità da attori malevoli. Tuttavia, si rende noto che sono stati pubblicati i POC, dove è possibile ricostruire i codici di attacco per lo sfruttamento di tali.

JumpServer ha risolto le vulnerabilità che affliggono le diverse versioni del software con la release v3.10.7 rilasciata. Inoltre, in caso non si riesca ad effettuare immediatamente l’upgrade, è stato condiviso il seguente workaround per disabilitare in maniera temporanea la feature “Job Center” di JumpServer:

Di seguito le versioni afflitte dalle vulnerabilità: 

• Da v3.0.0 a v3.10.6

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.     

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index     

Riferimenti Esterni   

• https://github.com/jumpserver/jumpserver/security/advisories/GHSA-pjpp-cm9x-6rwj
• https://github.com/jumpserver/jumpserver/security/advisories/GHSA-2vvr-vmvx-73ch
• https://github.com/jumpserver/jumpserver/releases