JetBrains, müşterilerini TeamCity Şirket İçi sunucularına, saldırganların yönetici ayrıcalıklarıyla güvenlik açığı bulunan örnekleri ele geçirmesine olanak verebilecek kritik bir kimlik doğrulama atlama güvenlik açığına karşı yama yapmaları konusunda uyardı.
CVE-2024-23917 olarak izlenen bu kritik önemdeki kusur, TeamCity On-Premises’ın 2017.1’den 2023.11.2’ye kadar tüm sürümlerini etkiliyor ve kullanıcı etkileşimi gerektirmeyen uzaktan kod yürütme (RCE) saldırılarında kullanılabilir.
JetBrains, “Tüm TeamCity On-Premises kullanıcılarına, güvenlik açığını ortadan kaldırmak için sunucularını 2023.11.3’e güncellemelerini şiddetle tavsiye ediyoruz” dedi.
“Sunucunuz internet üzerinden herkesin erişimine açıksa ve yukarıdaki etki azaltma adımlarından birini hemen uygulayamıyorsanız, azaltma eylemleri tamamlanana kadar sunucunuzu geçici olarak erişilemez hale getirmenizi öneririz.”
Hemen yükseltme yapamayan müşteriler, TeamCity 2018.2+ ve TeamCity 2017.1, 2017.2 ve 2018.1 çalıştıran sunucuların güvenliğini sağlamak için bir güvenlik yaması eklentisi de kullanabilir.
Şirket, tüm TeamCity Cloud sunucularına yama uygulandığını ve saldırıya uğradıklarına dair hiçbir kanıt bulunmadığını söylese de, CVE-2024-23917’nin internete açık TeamCity Şirket İçi sunucularını ele geçirmek için vahşi doğada hedeflenip hedeflenmediğini henüz açıklamadı. .
Shadowserver çevrimiçi olarak açığa çıkan 2.000’den fazla TeamCity sunucusunu izliyor, ancak kaç tanesinin halihazırda yamalandığını bilmenin bir yolu yok.
CVE-2023-42793 olarak takip edilen benzer bir kimlik doğrulama atlama kusuru, Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı APT29 bilgisayar korsanlığı grubu tarafından Eylül 2023’ten bu yana yaygın RCE saldırılarında kullanıldı.
CISA, “Yazım ajansları, bir yazılım geliştirme programı olan CVE-2023-42793’ten yararlanmayı seçerek, özellikle tehdit aktörlerinin düzinelerce yazılım geliştiricisinin ağlarını tehlikeye atmasına izin vererek, SVR’nin kurbanlara erişimden faydalanabileceğini değerlendiriyor.” diye uyardı.
Birkaç fidye yazılımı çetesi, Ekim ayının başından bu yana kurumsal ağlara sızmak için aynı güvenlik açığından yararlandı.
Microsoft’a göre, Kuzey Koreli Lazarus ve Andariel bilgisayar korsanlığı grupları, muhtemelen yazılım tedarik zinciri saldırılarına hazırlık amacıyla kurbanların ağlarına arka kapı açmak için CVE-2023-42793 açıklarından yararlandı.
JetBrains, Citibank, Ubisoft, HP, Nike ve Ferrari gibi yüksek profilli şirketler de dahil olmak üzere dünya çapında 30.000’den fazla kuruluşun TeamCity yazılım oluşturma ve test platformunu kullandığını söylüyor.