Yönetişim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme, Yama Yönetimi
Kullanıcılara Herkese Açık Olarak Bilinen Kusurlar ve Suistimaller için Yama Uygulamaya Öncelik Vermeleri Tavsiye Edildi
Sayın Mihir (MihirBagwe) •
5 Mart 2024
Sağlayıcı JetBrains, TeamCity sunucularının tüm şirket içi sürümlerini etkileyen kritik güvenlik açıklarının, kimlik doğrulamanın atlanmasına ve yol geçişine yol açabileceği ve saldırganın bir sunucu için yönetici ayrıcalıkları elde etmesine ve sunucuyu ele geçirmesine olanak verebileceği konusunda uyardı.
Ayrıca bakınız: Gartner 2023 Öngörüsü: İşletmeler Tehdit Yönetiminden Maruziyet Yönetimine Genişlemeli
JetBrains Pazartesi günü TeamCity Şirket İçi CI/CD çözümü için CVE-2024-27198 ve CVE-2024-27199 olarak takip edilen iki güvenlik açığını giderecek bir güncelleme yayınladı.
Rapid7, her iki hatanın da kimlik doğrulama atlama güvenlik açıkları olduğunu, ancak ikisinden “en şiddetlisi” olan CVE-2024-27198'in “kimliği doğrulanmamış RCE de dahil olmak üzere, kimliği doğrulanmamış uzak bir saldırgan tarafından savunmasız bir TeamCity sunucusunun tamamen ele geçirilmesine izin verdiğini” söyledi.
Araştırmacılar, güvenlik açığının ayrıntılı bir açıklaması ve kamuya açık alanda buna karşılık gelen bir istismarın gerçek dünyadaki istismarın yakında ortaya çıkabileceği konusunda uyardı ve kullanıcıları hemen yama yapmaya çağırdılar.
Rapid7'deki iki güvenlik çözümünü bulan araştırmacılar, “Bir TeamCity sunucusunun ele geçirilmesi, saldırganın tüm TeamCity projeleri, yapıları, aracıları ve yapıları üzerinde tam kontrole sahip olmasını sağlar ve bu nedenle, bir saldırganın tedarik zinciri saldırısı gerçekleştirecek şekilde konumlandırılması için uygun bir vektördür” dedi. kusurlar.
Rapid7, kusurun ciddiyetini göstermek için bir istismar oluşturdu. Araştırmacılar, hedef TeamCity sunucusunda kabuk erişimi elde etmelerine olanak tanıyan bir kimlik doğrulama oluşturdu.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı da Aralık ayında benzer öngörüleri paylaşarak, güvenliği ihlal edilmiş bir TeamCity sunucusunun tehdit aktörlerine yazılım geliştiricilerin kaynak koduna ve imzalama sertifikalarına erişme olanağı verebileceğini ve aktöre yazılım derleme ve dağıtım süreçlerini alt üst etme yeteneği verebileceğini belirtti.
İki kimlik doğrulama bypass güvenlik açığına karşı savunmasız olan TeamCity sunucularının çoğunluğu ABD'de bulunmaktadır ve bunu Almanya ve Rusya takip etmektedir. buna göre internet tarayıcısı Netlas.io.
JetBrains ilk olarak kısa bir blog yazısında iki güvenlik açığını gideren TeamCity 2023.11.4'ün yayınlandığını duyurdu. “Önceki hata düzeltmelerini ve/veya TeamCity'nin ana sürümlerini kullanmaya devam eden istemcilerin tehlikeye atılmasını önlemek için güvenlikle ilgili sorunların ayrıntılarını paylaşmıyoruz” dedi.
Ancak Rapid7'nin teknik tavsiyesinin yayınlanmasının ardından JetBrains, sorunların ciddiyetini ve bunlardan yararlanmanın sonuçlarını açıklayan ikinci bir blog yazısı yayınladı.
Şirket, yöneticilerin sunucularını güncellemelerini şiddetle tavsiye ediyor ancak bu şu anda mümkün değilse TeamCity 2018.2 ve daha yeni sürümlerin yanı sıra TeamCity 2018.1 ve daha eski sürümleri için bir güvenlik düzeltme eki eklentisi mevcuttur.
JetBrains, sunucunun bulut versiyonunun zaten yamalanmış olduğunu ve tehdit aktörlerinin iki güvenlik açığından herhangi birini kullanarak onları hedeflemeye çalıştığına dair hiçbir belirti bulunmadığını söyledi.