JetBrains, TeamCity Şirket İçi sunucusunda, kimliği doğrulanmamış uzak saldırganların etkilenen sunucunun kontrolünü ele geçirmesine ve bunu bir kuruluşun ortamında daha fazla kötü amaçlı etkinlik gerçekleştirmek için kullanmasına olanak tanıyan kritik bir güvenlik açığını düzeltti.
TeamCity, aralarında Citibank, Nike ve Ferrari gibi birçok büyük markanın da bulunduğu yaklaşık 30.000 kuruluşun yazılım oluşturma, test etme ve dağıtma süreçlerini otomatikleştirmek için kullandığı bir yazılım geliştirme yaşam döngüsü (SDLC) yönetim platformudur. Bu nedenle, kaynak kodu ve imzalama sertifikaları da dahil olmak üzere saldırganların işine yarayabilecek çok sayıda veriye ev sahipliği yapıyor ve aynı zamanda derlenmiş yazılım sürümleri veya dağıtım süreçlerinde değişiklik yapılmasına olanak sağlayabiliyor.
Kusur şu şekilde izlendi: CVE-2024-23917zayıflığı temsil eder CWE-288Bu, alternatif bir yol veya kanal kullanan bir kimlik doğrulama atlamasıdır. JetBrains kusuru 19 Ocak’ta tespit etti; TeamCity Şirket İçi sürekli entegrasyon ve dağıtım (CI/CD) sunucusunun 2017.1’den 2023.11.2’ye kadar tüm sürümlerini etkiler.
TeamCity’den Daniel Gallo, “Kötüye kullanılırsa, bu kusur, TeamCity sunucusuna HTTP(S) erişimi olan kimliği doğrulanmamış bir saldırganın kimlik doğrulama kontrollerini atlamasına ve TeamCity sunucusunun idari kontrolünü ele geçirmesine olanak tanıyabilir” diye yazdı. CVE-2024-23917’yi ayrıntılarıyla anlatan bir blog yazısında, bu hafta başında yayınlandı.
JetBrains zaten güvenlik açığını gideren bir güncelleme yayınladı: TeamCity On-Premises sürüm 2023.11.3ve ayrıca kendi TeamCity Cloud sunucularına yama uyguladı. Şirket ayrıca kendi sunucularının saldırıya uğramadığını da doğruladı.
TeamCity’nin Sömürü Tarihi
Aslında TeamCity Şirket İçi kusurları hafife alınmamalıdır; çünkü üründe keşfedilen son büyük kusur, çeşitli devlet destekli aktörlerin ürünü bir dizi kötü niyetli davranışta bulunmak üzere hedef almasıyla küresel bir güvenlik kabusuna yol açmıştır.
Bu durumda, kritik bir uzaktan kod yürütme (RCE) hatası için genel bir kavram kanıtlama (PoC) istismarı şu şekilde izlenir: CVE-2023-42793 – JetBrains tarafından bulundu ve geçen 30 Eylül’de yamalandı – Microsoft tarafından Diamond Sleet ve Onyx Sleet olarak takip edilen iki Kuzey Kore devlet destekli tehdit grubu tarafından neredeyse anında istismar edilmesi tetiklendi. Gruplar kusuru istismar etti Siber casusluk, veri hırsızlığı ve finansal amaçlı saldırılar da dahil olmak üzere çok çeşitli kötü amaçlı faaliyetleri gerçekleştirmek için arka kapıları ve diğer implantları bırakmak.
Daha sonra Aralık ayında APT29 (aka CozyBear, Dukes, Gece yarısı kar fırtınasıveya Nobelium), kötü şöhretli Rus tehdit grubu 2020 SolarWinds saldırısının arkasında da kusurun üzerine atladım. Diğerlerinin yanı sıra CISA, FBI ve NSA tarafından izlenen faaliyetlerde APT, savunmasız sunucuları ele geçirerek ayrıcalıkları artırmak, yanlara doğru hareket etmek, ek arka kapılar dağıtmak ve kalıcı ve uzun vadeli erişim sağlamak için diğer adımları atmak üzere ilk erişim için bunları kullandı. güvenliği ihlal edilmiş ağ ortamlarına.
Güncelleme veya Alternatif Azaltma Önerilir
En son kusuruyla benzer bir senaryodan kaçınmayı ümit eden JetBrains, ortamlarında etkilenen ürünleri olan herkesi yamalı sürüme derhal güncelleme yapmaya çağırdı.
Bu mümkün değilse JetBrains ayrıca indirilebilen ve sorunu çözecek TeamCity 2017.1’den 2023.11.2’ye kadar olan sürümlere yüklenebilen bir güvenlik düzeltme eki eklentisi de yayımladı. Şirket aynı zamanda kurulum talimatları yayınlandı Müşterilerin sorunu hafifletmesine yardımcı olmak için eklentiyi çevrimiçi olarak kullanın.
Ancak TeamCity, güvenlik yaması eklentisinin yalnızca güvenlik açığını gidereceğini ve başka düzeltmeler sağlamayacağını vurguladı, bu nedenle müşterilerin “diğer birçok güvenlik güncellemesinden yararlanmak için” TeamCity On-Premises’in en son sürümünü yüklemeleri şiddetle tavsiye ediliyor, diye yazdı Gallo.
Ayrıca, bir kuruluşun İnternet üzerinden herkese açık olarak erişilebilen ve bu hafifletme adımlarından herhangi birini gerçekleştiremeyen, etkilenen bir sunucusu varsa JetBrains, kusur giderilene kadar sunucunun erişilebilir hale getirilmesini önerdi.
Sevco Security CSO’su Brian Contos, TeamCity hataları söz konusu olduğunda kötüye kullanım geçmişi göz önüne alındığında, yama uygulamasının kuruluşların sorunu çözmek için atması gereken gerekli ve hayati bir ilk adım olduğunu gözlemliyor. Bununla birlikte, bir şirketin izini kaybettiği İnternet’e bakan sunucuların olabileceği göz önüne alındığında, bir BT ortamını daha sıkı bir şekilde kilitlemek için daha fazla adım atılması gerekebileceğini öne sürüyor.
Contos, “Bildiğiniz saldırı yüzeyini savunmak yeterince zor, ancak BT varlık envanterinizde görünmeyen savunmasız sunucular olduğunda bu imkansız hale geliyor” diyor. “Yama işlemi tamamlandıktan sonra, güvenlik ekipleri dikkatlerini güvenlik açığı yönetimine yönelik daha uzun vadeli, daha sürdürülebilir bir yaklaşıma çevirmelidir.”