JetBrains, entegre geliştirme ortamlarının (IDE’ler) kullanıcılarını GitHub erişim belirteci güvenliği ihlaline maruz bırakabilecek kritik bir güvenlik açığını (CVE-2024-37051) düzeltti.
CVE-2024-37051 Hakkında
JetBrains çeşitli programlama dilleri için IDE’ler sunar.
CVE-2024-37051, IntelliJ açık kaynak platformundaki JetBrains GitHub eklentisinde bulunan bir güvenlik açığıdır ve 2023.1’den itibaren etkinleştirilmiş ve yapılandırılmış/kullanımda olan tüm IntelliJ tabanlı IDE’leri etkilemektedir.
“29 Mayıs 2024’te, IDE içindeki çekme isteklerini etkileyebilecek olası bir güvenlik açığının ayrıntılarını içeren bir harici güvenlik raporu aldık. JetBrains güvenlik destek ekibi lideri Ilya Pleskunin, “Özellikle, IntelliJ tabanlı IDE’ler tarafından yönetilecek bir GitHub projesine yapılan çekme isteğinin bir parçası olan kötü amaçlı içerik, erişim belirteçlerini üçüncü taraf bir ana bilgisayara maruz bırakacaktır” diye açıklıyor.
Saldırganlar bu belirteçleri, kullanıcı GitHub hesaplarına ve depolarına yetkisiz erişim sağlamak ve muhtemelen kötü amaçlı kod dağıtmak veya depoları silmek için kullanabilir.
Düzeltmeler mevcut
Sorun şu IDE’lerde düzeltildi: Aqua, CLion, DataGrip, DataSpell, GoLand, IntelliJ IDEA, MPS, PhpStorm, PyCharm, Rider, RubyMine, RustRover ve WebStorm.
Pleskunin, “JetBrains GitHub eklentisi de düzeltmeyle güncellendi ve daha önce etkilenen sürümler JetBrains Marketplace’ten kaldırıldı” diye ekledi Pleskunin.
Kullanıcılara, kullandıkları IDE’nin mevcut en son sürümüne güncelleme yapmalarını tavsiye etti. GitHub çekme isteği işlevini kullananlar şunları da yapmalıdır:
- Eklenti tarafından kullanılan GitHub erişim belirteçlerini iptal edin
- JetBrains IDE Entegrasyon uygulamasına erişimi iptal edin
- Eklenti için verilen belirteci silin
Android işletim sisteminin resmi IDE’si olan Google’ın IntelliJ tabanlı Android Studio kullanıcıları da v2023.3.1.20’ye (yani 2023.3.1 Yama 2) yükseltmeli ve aynı jeton iptal sürecinden geçmelidir.
Help Net Security, sorunun kaynağı hakkında daha fazla ayrıntı istemek ve güvenlik açığının bildirilip düzeltilmeden önce saldırganlar tarafından kullanılmış olabileceğine dair herhangi bir belirti olup olmadığını sormak için JetBrains ve GitHub’a ulaştı. Bir yanıt alırsak (ne zaman) bu parçayı güncelleyeceğiz.
GÜNCELLEME (11 Haziran 2024, 10:20 ET):
“Saldırganların aktif olarak istismar ettiğine dair doğrulanmış bir kanıt yok. [the vulnerability] Keşfedilip ifşa edilmeden önce. Bir JetBrains temsilcisi Help Net Security’ye, “Kullanıcıların istismar riskini en aza indirmek için güvenlik güncellemelerini derhal uygulamalarını öneriyoruz” dedi.
Ayrıca GitHub belirteçlerinin genellikle kimlik doğrulama bilgileri görevi gördüğünü ve başka kimlik doğrulama adımları gerektirmeden GitHub kaynaklarına erişime izin verdiğini de belirttiler.
“Bu, bir saldırganın geçerli bir token alması durumunda, hesapta MFA’nın etkin olup olmadığına bakılmaksızın bunu ilgili GitHub hesabının kaynaklarına erişmek için kullanabileceği anlamına geliyor” dediler.
“IDE’de GitHub çekme isteği işlevini aktif olarak kullandıysanız, eklentinin kullandığı GitHub tokenlarını iptal etmenizi şiddetle tavsiye ederiz. Belirteç iptal edildikten sonra, tüm eklenti özellikleri (Git işlemleri dahil) çalışmayı durduracağından eklentiyi yeniden kurmanız gerekeceğini lütfen unutmayın.