JetBrains, müşterilerinin TeamCity'nin şirket içi sürümündeki kritik güvenlik açıklarıyla bağlantılı bir dizi istismar faaliyeti bildirdiğini ve açıklama politikalarını bir güvenlik politikası çerçevesinde koruduğunu söyledi. blog pazartesi günü yayınlandı.
JetBrains bu ayın başlarında müşterilere şu şekilde listelenen iki kimlik doğrulama atlama güvenlik açığı hakkında bilgi verildi: CVE-2024-27198 Ve CVE-2024-27199Tehdit aktörlerinin istismar ettiği. JetBrains güvenlik açıklarını açıkladığında, şirket ile Rapid7'deki güvenlik araştırmacıları arasında kamuya açık bir anlaşmazlık çıktı ve bu araştırmacılar kusurları ilk olarak 20 Şubat'ta JetBrains'e bildirdi.
JetBrains, 4 Mart'ta TeamCity'nin güncellenmiş bir sürümünü ve en son sürüme yükseltme yapamayan müşteriler için bir güvenlik yamasını yayınladı. Ancak Rapid7, JetBrains yamasının yayınlanmasından sadece birkaç saat sonra kendi raporunu yayınladı.
“JetBrains'in bir sözcüsü, e-posta yoluyla, “Zamanında yama yapamadığı veya güncelleyemediği için sunucuları ele geçirilen müşterilerden çok sayıda rapor aldık” dedi.
Hızlı7 JetBrains'i yamayı düzgün bir şekilde koordine etmeden yayınladığı için eleştirdi güvenlik firmasıyla. Rapid7 Pazartesi günü e-posta yoluyla açıklama politikalarına sadık kaldığını söyledi.
Pek çok endüstri gözlemcisine göre, sömürü faaliyetinin devam ettiği açıkça görülüyor. Ancak son günlerde tempo yavaşlamaya başladı.
Shadowserver daha önce 4 Mart'tan itibaren CVE-2024-27198'e yönelik istismar faaliyeti bildirmişti. Shadowserver yetkilileri bildirdi 6 Mart itibarıyla 1.182 muhtemel savunmasız örnek ve Pazar günü itibariyle yaklaşık 700.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü CVE-2024-27198'i listesine ekledi. Bilinen İstismar Edilen Güvenlik Açıkları katalog. CISA, kuruluşlara JetBrains risk azaltma kılavuzunu incelemeleri ve güvenlik yükseltmelerini uygulamaları çağrısında bulundu.
GuidePoint'teki araştırmacılar, BianLian tehdit grubunun, savunmasız bir TeamCity sunucusuna ilk erişim için CVE-2024-27198 ve CVE-2023-42793'ten yararlandığını söyledi. Tehdit grubu daha sonra bir uygulama başlattı. PowerShell kullanan yeni arka kapı.