İki kişiyi hedef alan saldırılar TeamCity CI/CD platformundaki güvenlik açıkları geliştiricisi JetBrains'in 3 Mart'ta kusurları açıklamasından sadece birkaç gün sonra ciddi anlamda başladı.
Saldırılar arasında fidye yazılımı dağıtmaya yönelik en az bir kampanya ve bir tehdit aktörünün gelecekte potansiyel olarak kullanılmak üzere savunmasız TeamCity örneklerinde yönetici kullanıcılar oluşturduğu bir kampanya yer alıyor.
Güvenlik açıklarından biri (olarak tanımlanır) CVE-2024-27198) 10 üzerinden 9,8'lik maksimum ciddiyet derecesine yakın CVSS derecesine sahiptir ve TeamCity'nin Web bileşeninde bir kimlik doğrulama atlama sorunudur. Güvenlik açığını keşfeden ve bunu JetBrains'e bildiren Rapid7 araştırmacıları bunu şu şekilde tanımladı: kimliği doğrulanmamış uzaktaki bir saldırganın rastgele kod yürütmesine olanak sağlamak etkilenen örneklerin tam kontrolünü ele geçirmek için.
CVE-2024-27199JetBrains'in ortaya çıkardığı diğer güvenlik açığı, aynı TeamCity Web bileşeninde orta düzeyde bir kimlik doğrulama atlama hatasıdır. Rapid7'ye göre “sınırlı miktarda” bilginin açıklanmasına ve sistem değişikliğine izin veriyor.
TeamCity Geliştiricileri: Saldırganlar İçin Değerli Bir Hedef
Yaklaşık 30.000 kuruluş, CI/CD ortamlarındaki yazılım projelerine yönelik oluşturma, test etme ve dağıtım süreçlerini otomatikleştirmek için TeamCity'yi kullanıyor. Diğer güncel TeamCity kusurları gibi – örneğin CVE-2024-23917 Şubat 2024'te ve CVE-2023-42793Rusya'daki Midnight Blizzard grubunun geçen yılki saldırılarda kullandığı (aynı zamanda kötü şöhretli SolarWinds tedarik zinciri saldırılarıyla da biliniyor) iki yeni grup ciddi endişelere yol açtı.
Endişeler, saldırganların bir kuruluşun yazılım yapılarının ve başlatılacak projelerin kontrolünü ele geçirmek için kusurları kötüye kullanma potansiyeli ile ilgilidir. toplu tedarik zinciri saldırıları.
Sevco Security'nin kurucu ortağı Greg Fitzgerald, “Saldırganlar, yapılandırma dağıtımına yönelik TeamCity gibi araçların, kötü amaçlı kodu hızla yaymanın kolay bir yolu olduğunun farkına varıyor” diyor. Birçoğunun ayrıca kitlesel ölçekte yanal hareketi mümkün kılmak için TeamCity gibi güvenilir araçları kullandığını söylüyor.
Rapid7'nin baş güvenlik araştırmacısı Stephen Fewer, yeni güvenlik açıklarıyla donanmış bir saldırganın, açığa çıkan TeamCity sunucularını bulmak için Shodan ve FOFA gibi arama motorlarını kullanabileceğini söylüyor. Bir uyarı, TeamCity sunucuları gibi görünen çok sayıda bal küpü sunucusunun bulunması, dolayısıyla kötü aktörlerin meşru örnekleri bulmak için fazladan bazı işler yapması gerekebileceğini söylüyor.
Fewer, keşiften sonra sömürünün önemsiz olduğunu söylüyor. “CVE-2024-27198, tek bir HTTP isteği aracılığıyla kullanılabilir” diyor. Bu, “bir saldırganın sistemde yeni bir yönetici kullanıcı hesabı oluşturmasına veya erişim belirtecine erişmesine olanak tanır ve buradan saldırgan, uzaktan kod yürütme de dahil olmak üzere sunucuyu tamamen ele geçirmek için bundan yararlanabilir. [RCE] hedef işletim sisteminde.”
Bir saldırgan, güvenlik açığı bulunan bir örnekte yeni bir yönetici hesabı oluşturarak, projeler, derleme aracıları ve yapılar dahil olmak üzere TeamCity örneklerinin yönettiği tüm kaynaklara potansiyel olarak erişebilir ve bunları değiştirebilir.
Fewer, “Saldırganın kullanabileceği başka bir yol da, sunucu üzerinde tam kontrol sahibi olmak için temeldeki işletim sistemi üzerinde rastgele komutlar çalıştırmak üzere erişimlerini güçlendirmektir” diyor. Bunu yapmanın bir yolu, saldırganın tercih ettiği bir veriyi barındıran kötü amaçlı bir TeamCity eklentisini dağıtmaktır. Başka bir seçenek de, işletim sistemindeki komutları çalıştırmak için TeamCity'nin bazı sürümlerinde bulunan hata ayıklama amacıyla bir REST API'sinden yararlanmaktır. Fewer, “Bundan sonra saldırı, hedefin ağının daha derinlerine doğru ilerleyebilir veya erişimi korumak için ele geçirilen sunucuda kalıcılık oluşturabilir” diyor.
Yüksek Önem Derecesine Sahip JetBrains TeamCity Tehditleri
5 Mart'ta CrowdStrike'ın tehdit avcılığı grubunun yöneticisi, bir tehdit aktörünün birden fazla vakayı gözlemlediğini bildirdi. iki kusuru kullandı değiştirilmiş bir versiyonu gibi görünen şeyi dağıtmak için YaseminKırmızı ekip test uzmanlarının gerçek bir fidye yazılımı saldırısını simüle etmek için kullanabileceği açık kaynaklı bir araç. Geliştiricileri Jasmin'i bir WannaCry klonu olarak tanımladı.
Ayrı olarak, ihlal ve sızıntı verilerini toplayan bir site olan LeakIX, bazı verileri tespit ettiğini bildirdi. 1.711 açığa çıkan TeamCity örneği Bunlardan 1.442'si, birisinin CVE-2024-27198 yoluyla sahte kullanıcı hesapları oluşturduğuna dair işaretler gösterdi. LeakIX, daha önce Twitter olarak bilinen platform X'te “Eğer savunmasız bir sistemi çalıştırıyorsanız/hala çalıştırıyorsanız, uzlaşmayı varsayalım” dedi.
Bu arada, kar amacı gütmeyen İnternet izleme sitesi ShadowServer.org şunları gözlemlediğini bildirdi: CVE-2024-27198 için yararlanma etkinliği 4 Mart'tan itibaren JetBrains'in kusuru açıklamasından bir gün sonra.
Shadowserver, “JetBrains TeamCity'yi şirket içinde çalıştırıyorsanız, en son CVE-2024-27198 (uzaktan kimlik doğrulama bypass) ve CVE-2024-27199 güvenlik açığı için ŞİMDİ yama yaptığınızdan emin olun!” diye uyardı. Gönüllü tabanlı siber tehdit istihbarat organizasyonu, tespit edildiğini bildirdi 1.182 TeamCity örneği, bazılarında zaten bir yama mevcut olabilir. En çok etkilenen ülkeleri 298 örnekle ABD ve 188 örnekle Almanya olarak belirledi.