JetBrains, RCE’ye ve Sunucu Ele Geçirilmesine İzin Veren Ciddi TeamCity Kusurunu Düzeltiyor

   Eylül 27, 2023  Posted in HackRead


  • Bu kusura 9,8 CVSS puanı verildi.
  • Kusur, TeamCity’nin 2023.05.3 ve önceki sürümlerini etkiledi.
  • Sonar’dan Stefan Schiller, TeamCity CI/CD sunucusunda kritik öneme sahip bir kimlik doğrulama atlama güvenlik açığı keşfetti.
  • Saldırganların kaynak kodunu ele geçirmesine, RCE ve tedarik zinciri saldırıları gerçekleştirmesine ve sunucunun tam idari kontrolünü ele geçirmesine olanak tanıyabilir.
  • JetBrains, TeamCity 2023.05.4 sürümündeki kusuru düzeltti.

JetBrains yazılım geliştirme şirketi, TeamCity CI/CD (sürekli entegrasyon ve sürekli teslimat) çözümünde kritik bir güvenlik açığını düzeltti. Güvenlik açığı (CVE-2023-42793 olarak izleniyor), kimliği doğrulanmış saldırganların uzaktan kod yürütme (RCE) gerçekleştirmesine ve sunucuyu tam olarak kontrol etmesine olanak tanıyordu.

Rapid7 araştırmacılarına göre 25 Eylül 2023 itibarıyla kusurun vahşi ortamda kullanıldığına dair hiçbir kanıt yoktu. Üstelik bu güvenlik açığına yönelik herhangi bir genel kullanım kodu mevcut değildi.

CVE-2023-42793 nedir?

Bu güvenlik açığı, Sonar’ın güvenlik araştırmacısı Stefan Schiller tarafından bulundu. Bu, Şirket İçi TeamCity 2023.05.3 veya önceki sürümlerini etkileyen bir kimlik doğrulama atlama hatasıdır ve 9,8 olarak derecelendirilmiştir. Schiller, saldırganların bundan yararlanabilmesi için kullanıcıyla etkileşime girmesi gerektiğini belirtti. Bunu başarabilirlerse kaynak kodunu, saklanan hizmet sırlarını ve hatta özel anahtarları çalmak ve tedarik zinciri saldırıları gerçekleştirmek mümkün olabilirdi.

Daha da kötüsü, yazılımı tehlikeye atmak ve “tüm alt kullanıcıları” etkilemek için kötü amaçlı kodu zahmetsizce enjekte etmek üzere oluşturma sürecine erişebilmeleridir. araştırmacı ayrıca Shodan’ın tarandığında internetten erişilebilen 3.000’den fazla Şirket İçi TeamCity görüntülediğini belirtti.

Yamayı en kısa sürede uygulayın

JetBrains, 18 Eylül’de piyasaya sürülen ürünün 2023.05.4 sürümünde bu kusuru düzeltti. Ayrıca bir güvenlik uyarısı da yayınladı ancak güvenlik açığının teknik ayrıntılarını şimdilik açıklamadı.

JetBrains, “önemsiz” CVE-2023-42793’ün “hedef örnekte geçerli bir hesaba” ihtiyaç duymaması nedeniyle istismar edilebilmesi nedeniyle müşterilerini derhal en son sürüme yükseltmeye çağırıyor. Bu nedenle tehdit aktörleri bundan yararlanmak isteyecektir.

Yeni sürüme geçemeyenler için yama mevcuttur. 2018.2 veya üzeri sürümü çalıştıran TeamCity kullanıcılarının, eklentiyi yükledikten sonra sunucuyu yeniden başlatmalarına gerek yoktur. Ancak 8.0 ila 2018.1 sürümlerini çalıştıran kullanıcıların sunucuyu yeniden başlatması gerekir. Yamayı yükseltemez veya yükleyemezseniz, kötüye kullanım tehdidini azaltmak için sunucuyu geçici olarak erişilemez hale getirmeniz gerekir.

Olası Tehlikeler

Uygulama güvenliği firması Endor Labs’ın güvenlik araştırmacısı Henrik Plate, güvenlik açığının, kimliği doğrulanmamış kullanıcıların sunucunun yönetim kontrolünü ele geçirmesine izin verdiğini ve herhangi bir saldırganın, sırlar veya kaynak kodu gibi hassas bilgilere veya CI/CD sisteminde depolanan herhangi bir varlığa erişebileceğini açıkladı. .

Bir RCE kusuru, kullanıcının savunmasız TeamCity sunucu işlemini çalıştırması durumunda saldırganların işletim sistemini uyarmadan sistemde rastgele kod çalıştırmasına olanak tanıyor. Saldırganlar bunu yaptıktan sonra diğer sistemlere geçebilir, ayrıcalıkları daha da yükseltebilir ve yazılıma müdahale edebilir. Bu, sahip oldukları hesaplar aracılığıyla kalıcı erişim elde etmelerine olanak tanıyacaktır. TeamCity tarafından çalıştırılan/yönetilen yapıları bile manipüle edebilirler.

“En kötü senaryo muhtemelen saldırganların TeamCity tarafından oluşturulan yazılımı sessizce manipüle etmesidir, çünkü bu, bu tür virüslü yazılımı çalıştıran tüm kullanıcıları etkileyecektir. Bu tür saldırılar, SolarWinds’in ele geçirilmiş versiyonlarının çok sayıda kuruluş tarafından indirilip çalıştırıldığı SolarWinds olayıyla kıyaslanabilir.”

“Bu, günümüz yazılımlarının güvenliğinin ne ölçüde her türden yukarı akış bağımlılığının güvenliğine bağlı olduğunun altını çiziyor – yalnızca “gömülü” bileşenler, asıl yazılım ürününün parçası haline gelenler değil, aynı zamanda yazılım geliştirme boyunca kullanılan tüm diğer bileşenler de. Plate, yamalanmamış bir TeamCity sürümünü çalıştırmanın olası tehlikelerini açıkladı.

  1. Google Hesabı Senkronizasyonu Güvenlik Açığı, 15 Milyon Dolar Çalmak İçin İstismar Edildi
  2. MOVEit Hack’i ABD’deki 900 Okulu Etkiledi ve Öğrenci Verileri Açığa Çıktı
  3. WinRAR kullanıcıları, 0 günlük güvenlik açığı bulunduğunda yazılımı günceller





Source link