Güvenlik açığı istismarları, siber suçluların hedef kuruluşlara erişmesinin üçüncü en yaygın yoludur ve 2023’te yalnızca kimlik bilgileri hırsızlığı ve kimlik avı bunu geride bırakacaktır. Yasa dışı erişim elde edildikten sonra davetsiz misafirler fidye yazılımı saldırıları başlatabilir, hassas verileri karanlık ağ forumlarında satmak üzere sızdırabilir veya hesapları ele geçirebilir. , hasar vermek için diğer birçok seçenek arasında.
İzlemenizi şiddetle tavsiye ederim “En İyi 3 KOBİ Saldırı Vektörünün Güvenliğini Sağlama” güvenlik açığından yararlanma mekanizmaları ve bunların hafifletilmesinin yanı sıra kimlik bilgileri hırsızlığı ve kimlik avı konularına daha derin bir teknik dalış için. Küçük ve orta ölçekli işletmelerdeki BT güvenlik ekiplerine, Fortune 500’ün dağılan güvenlik personeli veya açık çek bütçeleri olmadan, günümüzün en acil tehditlerini önlemek, tespit etmek ve düzeltmek için uzman görüşleri ve tavsiyeler sunar.
.webp)
Bu yazıda dünya çapındaki kuruluşları etkileyen belirli bir örneği açıklayacağız. TeamCity On-Premises’ı etkileyen iki kimlik doğrulama atlama güvenlik açığı Mart ayında açıklandı.
- CVE-2024-27198kritik önem derecesi olan (CVSS 9.8)
- CVE-2024-27199bu yüksek şiddettedir (CVSS 7.3).
TeamCity, yazılım ürünlerini otomatik bir şekilde oluşturmak ve test etmek için kullanılan popüler bir CI/CD çözümüdür.
CVE-2024-27198’in başarıyla kullanılması, İki güvenlik açığından daha ciddi olanı, kimliği doğrulanmamış uzaktaki bir saldırganın TeamCity sunucusu üzerinde tam kontrol sağlamasına olanak tanır. Bu durum, tedarik zinciri saldırıları gerçekleştirmek için güvenlik açığının kullanılmasıyla ilgili önemli endişeleri artırıyor.
İnternete açık olan 2.000’den fazla TeamCity sunucusunun çoğuna hızlı bir şekilde yama uygulanmadı.
Yama uygulanmamış TeamCity sunucularında gözlemlenen yüzlerce yeni yönetici kullanıcı oluşturmasındaki artışın da gösterdiği gibi, güvenlik açıklarından yararlanıldığı görüldü.
Kötü amaçlı İnternet etkinliklerine ilişkin verileri toplayan ve analiz eden, kâr amacı gütmeyen bir güvenlik kuruluşu olan Shadowserver, CVE-2024-27198 güvenlik açığından yararlanmaya yönelik binlerce girişim kaydetti:
Etkilenen Sürümler
Güvenlik açıkları, 2023.11.3’e kadar tüm TeamCity Şirket İçi sürümlerini etkiliyor.
CVE-2024-27198’den Nasıl Yararlanılır
İlgili iki güvenlik açığından ilki, CVE-2024-27198 “web-openapi.jar” kitaplığındaki “jetbrains.buildServer.controllers.BaseController” sınıfından ve web isteklerini nasıl işlediğinden kaynaklanır.
- “BaseController” sınıfı, web isteklerine hizmet vermek için “handleRequestInternal” yöntemini kullanır.
- Eğer istek yeniden yönlendirilmezse (HTTP 302), “updateViewIfRequestHasJspParameter” yöntemi çağrılır.
“updateViewIfRequestHasJspParameter” yönteminde, “isControllerRequestWithViewName” Boolean değişkeni iki koşulu kontrol eder:
- “modelAndView”ın bir adı ve ikincisi varsa,
- İsteğin sunucu uygulaması yolu “.jsp” ile bitmiyorsa
Daha sonra “getJspFromRequest” metodu çağrılır ve çıktısı “ModelAndView.setViewName” metoduna aktarılır.
“getJspFromRequest” yönteminin ayrıntılarını incelediğimizde web isteğinden “jsp” HTTP parametresini çektiğini görebiliriz. Parametrenin “.jsp” ile bittiğinin ve “admin/” yolunu içermediğinin doğrulanması için test edilir.
Bu bilgi göz önüne alındığında, bir saldırgan, aşağıdaki koşulların tümünü yerine getirmesi durumunda, kimlik doğrulaması olmadan isteğe bağlı uç noktalara erişmek için web isteklerini manipüle edebilir:
- Kimliği doğrulanmamış ve mevcut olmayan bir kaynak isteniyor. Örneğin: “/hax”.
- Bu, sunucudan “/404.html” sunucu uygulaması yolu oluşturan bir yanıtı tetikleyecektir; bu, hem bir yönlendirme yanıtı değildir hem de “.jsp” ile bitmez.
- İstekteki “jsp” parametresinin değerinin, saldırganın erişmek istediği kimliği doğrulanmış kaynak olarak ayarlanması.
- Bu, “?jsp=/app/rest/server” gibi bir HTTP sorgu dizesi eklenerek yapılabilir.
- İstenilen yolun “.jsp” ile bitmesinin sağlanması.
- Bu, isteğe “;.jsp” eklenerek yapılabilir.
- Bu, isteğe “;.jsp” eklenerek yapılabilir.
Bu güvenlik açığından yararlanıldığında kimlik doğrulama atlanır ve saldırganın aşağıdaki eylemlerden birini gerçekleştirerek sunucuya tam erişimi sağlanır:
- Saldırgan, sunucuda uzaktan yeni bir yönetici hesabı oluşturmak için “/app/rest/users” uç noktasını değiştirebilir:
- Saldırgan ayrıca yeni bir yönetici erişim belirteci de oluşturabilir:
CVE-2024-27199’dan nasıl yararlanılır
İkinci güvenlik açığı, CVE-2024-27199, Yol Geçişlerini kullanan bir kimlik doğrulama atlama güvenlik açığıdır. TeamCity sunucusundaki çeşitli yolların, yol geçişlerine karşı savunmasız olduğu tespit edildi:
- /res/
- /güncelleme/
- /.iyi bilinen/acme-meydan okuma/
Bir saldırgan, bu yolları kullanarak kimlik doğrulamayı atlayarak bilgi sızdıran sınırlı sayıda kaynağa erişebilir ve hatta bazı durumlarda ayarların değiştirilmesine bile izin verebilir. Örneğin, normalde “/admin/diagnostic.jsp” kaynağı kimliği doğrulanmamış erişime izin vermez:
Ancak, yol geçişi güvenlik açığından yararlanıldığında ve “/res/../admin/diagnostic.jsp” yolu kullanıldığında, erişim izni verilir:
Bu güvenlik açığı, bir saldırgan tarafından “/app/https/settings/uploadCertificate” uç noktasını hedef alarak sunucuda hizmet reddine neden olacak şekilde de kullanılabilir. Saldırgan bu uç noktayı kullanarak sertifikasını sunucuya yükleyebilir ve dinleme bağlantı noktasını değiştirebilir.
Bunu başarmak için, oluşturulan sertifikayla “/res/../app/https/settings/uploadCertificate” yoluna bir POST isteği yapılabilir:
Sunucu ayarlarına bakıldığında değişikliklerin gerçekten yapıldığı görülüyor:
Bunu Nasıl Azaltabiliriz?
TeamCity sunucusundaki otomatik güncelleme seçeneğini kullanarak veya alternatif olarak yeni sürümü JetBrains web sitesi aracılığıyla manuel olarak indirerek TeamCity’yi en son sürüme (2023.11.4) güncelleyin.
Sunucuyu yükseltemeyen müşteriler için JetBrains, tüm TeamCity sürümlerindeki güvenlik açıklarını düzeltecek bir güvenlik düzeltme eki eklentisi sunar:
Çözüm
KOBİ’nizi korumaya yönelik daha fazla rehberlik için şu videoyu izleyin: “En İyi 3 KOBİ Saldırı Vektörünün Güvenliğini Sağlama.” Ekibinizin uygun fiyatlı, kullanımı kolay bir çözümle güçlendirildiğinden emin olun: Cynet’in Hepsi Bir Arada Siber Güvenlik Çözümüküçük ekipler için özel olarak tasarlanmıştır. Sonuçta kuruluşunuzun geleceği kumar oynanamayacak kadar önemlidir.