Lỗ hổng nghiêm trọng trong Jenkins Docker Image ảnh hưởng đến SSH Agent

[WhiteHat Team]

Hai lỗ hổng bảo mật mới (CVE-2025-32754 & CVE-2025-32755) đã được phát hiện trong các Jenkins Docker Image dùng cho SSH build agent.

Phiên bản bị ảnh hưởng:​

• jenkins/ssh-agent (phiên bản ≤ 6.11.1)
• Toàn bộ các phiên bản của image đã ngưng hỗ trợ jenkins/ssh-slave

Nguyên nhân của lỗ hổng xuất phát từ việc các Docker image nói trên tạo sẵn SSH host key trong quá trình build. Khi container được khởi chạy, các khóa này không thay đổi. Điều đó có nghĩa là tất cả các container được khởi tạo từ cùng một image sẽ sử dụng cùng một cặp SSH host key.

Đây là một sai sót nghiêm trọng trong thiết kế bảo mật. SSH host key vốn được sử dụng để định danh duy nhất một máy chủ với client, và đóng vai trò quan trọng trong việc xây dựng lòng tin giữa hai bên trong một kết nối SSH. Việc tái sử dụng khóa giữa các container khiến toàn bộ cơ chế xác thực này trở nên vô hiệu.

Nếu kẻ tấn công có thể chèn mình vào đường truyền giữa Jenkins controller (thường đóng vai trò là SSH client) và build agent, chúng có thể giả mạo build agent một cách dễ dàng mà không tạo ra bất kỳ cảnh báo xác thực nào từ hệ thống. Điều này tạo điều kiện thuận lợi cho các cuộc tấn công vào chuỗi cung ứng và tính toàn vẹn của quy trình CI/CD.

Lỗ hổng này có thể bị khai thác để thực hiện các hành vi độc hại như:

• Giả mạo build agent mà không bị Jenkins phát hiện.
• Chặn, chỉnh sửa, hoặc chèn mã độc vào pipeline build.
• Đánh cắp credentials/secret được sử dụng trong quá trình build.

Jenkins đã phát hành bản cập nhật trong phiên bản 6.11.2. Tuy nhiên, người dùng vẫn đang sử dụng image jenkins/ssh-slave cần lưu ý rằng image này đã bị ngưng hỗ trợ và sẽ không còn nhận được bất kỳ bản vá bảo mật nào trong tương lai. Jenkins khuyến cáo mạnh mẽ người dùng nên chuyển sang sử dụng image jenkins/ssh-agent mới nhất để đảm bảo bảo mật và an toàn cho hệ thống.

Theo Security Online​