TeamCity adında sürekli entegrasyon ve dağıtım (CI/CD) sunucu platformunun üreticisi JetBrains ve siber güvenlik firması Rapid7, müşterilerin doğrulanmış istismar karşısında yama yapmak için acele etmesiyle hizmetteki iki ciddi güvenlik açığının ele alınması konusunda karşılıklı darbeler alıyor .
Söz konusu iki sorun CVE-2024-27198 ve CVE-2024-27199 olarak takip edilmektedir. Bunlardan ilki, TeamCity'nin web bileşeninde, CVSS taban puanının 9,8 olduğu, alternatif bir geçiş sorunu yoluyla ortaya çıkan bir kimlik doğrulama atlama hatasıdır, bu da bunun kritik bir sorun olduğu anlamına gelir. İkincisi de aynı etkiye sahiptir ancak CVSS taban puanı 7,3'tür.
Rapid7'nin sorunları ayrıntılarıyla anlatan blog yazısında, güvenlik açıklarını keşfeden Rapid7 baş araştırmacısı Stephen Fewer şunları yazdı: “TeamCity sunucusunun ele geçirilmesi, saldırganın tüm TeamCity projeleri, yapıları, aracıları ve eserleri üzerinde tam kontrol sahibi olmasına olanak tanır ve bu nedenle, saldırı için uygun bir vektördür. Bir saldırganı tedarik zinciri saldırısı gerçekleştirecek şekilde konumlandırın.”
Anlaşmazlığın temelinde güvenlik açığının ifşa edilmesi ve yama uygulanmasına yönelik yaklaşımlardaki farklılık yatıyor.
Güvenlik açıkları, 15 Şubat 2024 Perşembe günü koordineli açıklama politikası aracılığıyla JetBrains'e açıklandı. JetBrains bunu 19 Şubat Pazartesi günü kabul etti ve Rapid7 tarafından teknik analiz sağlandıktan sonra 20 Şubat Salı günü sorunları yeniden yayınladı.
Anlatının Rapid7 versiyonunda JetBrains, kamuya açıklanmadan önce yamaların özel olarak yayınlanmasını önerdi. Koordineli açıklamanın önemini vurgulayarak yanıt verdi ve sözde sessiz yamalamaya karşı tavrının ana hatlarını çizdi.
Daha sonra, Rapid7'nin JetBrains'e geri döndüğü ve TeamCity'nin etkilenen sürümleri ve satıcı azaltma kılavuzu hakkında daha fazla bilgi için yeniden talepte bulunduğu 1 Mart Cuma gününe kadar işler birkaç gün sessiz kaldı. Atanan CVE numaraları kendisine bildirildi ancak bunun dışında sorunun hala araştırılmakta olduğu söylendi.
Ardından, 4 Mart Pazartesi günü, Rapid7 ile hiçbir iletişim kurulmadan JetBrains, TeamCity'nin güvenlik açıklarını düzelten yeni sürümünün yayınlandığını duyuran bir blog yayınladı. Rapid7, yamanın herhangi bir bildirim veya koordinasyon olmadan ve herhangi bir yayınlanmış öneri olmadan yayınlanmasından duyduğu endişeyi dile getirdiğini söyledi.
Rapid7, kendi güvenlik açığı açıklama politikası uyarınca, sessiz bir yamanın yayınlandığının farkına varırsa, güvenlik açığının ayrıntılarını 24 saat içinde “yayınlamayı hedefleyecek” ve bunu da şu anda gerçekleştirdi.
JetBrains o zamandan beri konuyla ilgili bir blog ve bir tavsiye yazısı yayınladı ve CVE'lerin TeamCity'nin yeni sürümünün sürüm notlarına dahil edildiğini belirtti ancak Rapid7'nin koordinasyonsuz ifşayla ilgili endişelerine doğrudan yanıt vermedi.
Hikayenin JetBrains versiyonunda, Rapid7'nin sessiz yama olarak adlandırdığı şeyi önerdiğine itiraz edilmiyor ancak bu açıklama yönteminin takip edildiği iddia ediliyor. onun koordineli açıklama politikası.
Müşterilerin risk düzeyi hakkında bilinçli bir karar vermesini sağlamak, onlara yükseltme yapmaları için zaman tanımak ve daha az yetenekli saldırganların bu arada kusurlardan yararlanmasını engellemek için bu yolu izlemek istediğini söyledi.
JetBrains, bunun Rapid7'nin yamalar düşerken aynı zamanda güvenlik açıklarının tüm teknik ayrıntılarını yayınlayacağı anlamına geldiğini öğrendikten sonra koordineli bir açıklama yapmama kararı aldığını söyledi.
“Yinelemek gerekirse, tüm ayrıntıları kamuoyuna açıklamadan hiçbir zaman sessizce bir düzeltme yayınlama niyetimiz yoktu. JetBrains TeamCity çözüm mühendisi Daniel Gallo, bir CVE Numaralandırma Yetkilisi (CNA) olarak, raporu aldıktan bir gün sonra her iki sorun için de CVE kimlikleri atadık” diye yazdı.
“Müşterilerimizin TeamCity örneklerini yükseltmelerine olanak tanıyan, bir düzeltmenin yayınlanması ile tam bir açıklamanın yapılması arasında bir zaman gecikmesi olacak şekilde, güvenlik açıklarının ayrıntılarını geçmişte uyguladığımız yöntemle açıklamayı önerdik.
“Bu öneri, TeamCity müşterilerine bir düzeltme yayınladıktan birkaç saat sonra güvenlik açıklarının tüm ayrıntılarını ve bunlardan nasıl yararlanılabileceğini yayınlayan Rapid7 ekibi tarafından reddedildi.”
Sessiz yama: kötü bir fikir
Rapid7'nin koordineli ifşa yaklaşımı siber güvenlik dünyasında geniş çapta kabul görüyor ve tamamen normal. JetBrains bu yaklaşımı neden reddettiğini açık bir şekilde belirtmese de, 2022'de Rapid7'nin baş güvenlik araştırma müdürü Tod Beardsley şöyle yazdı: gerçek anlamda ele alındığında, sessiz yama uygulamasının bazılarına uygun görünebileceğini çünkü bunun, sorunu anlayan ve bundan nasıl yararlanılacağını anlayan insan havuzunu sınırlandırıyor gibi göründüğünü söyledi.
Durumun neden böyle olmadığını açıklayan Beardsley şunları yazdı: “Bir yazılım şirketi bir yama yayınladığında… bir noktada çalışan yazılımın kodunu değiştirmek zorundadır, bu da yamalı yazılımın çalışan bir örneğine sahip olan herkesin tüm bilgilere erişebileceği anlamına gelir ve bir hata ayıklayıcının ve bir sökücünün nasıl kullanılacağını biliyor. Peki yamaların etkilerini incelemek için hata ayıklayıcıları kim kullanıyor? Neredeyse yalnızca geliştiricilerden yararlanın.
Bunu akılda tutarak, diyen Beardsley, sessiz yama uygulamasının aslında yamalı güvenlik açığı hakkındaki bilgiyi yetenekli istismar geliştiricileri, yani tehdit aktörleri için sınırladığını söyledi; dolayısıyla sessiz yamalamanın sıradan, düşük vasıflı bilgisayar korsanlarını ve senaryo çocuklarını devre dışı bıraktığı doğru olsa da, aynı zamanda iyi adamları, meşru kalem testçilerini, savunma teknolojileri geliştiricilerini, olaylara müdahale edenleri ve sorunu daha iyi anlama ve etkili bir şekilde iletişim kurma olanağından yararlanabilecek tüm siber topluluğu da kapsamaz.
“En önemlisi, yamanız için en önemli hedef kitleyi hariç tutuyorsunuz: gelen yama akışını bazı risk ve ciddiyet kriterlerine göre düzenlemesi ve kesinti ve güncelleme planlamasını buna göre yapması gereken normal BT yöneticileri ve yöneticileri. bu kriterler. Tüm güvenlik açıkları eşit değildir ve koruyucular hepsine ulaşmak isterken, hangilerinin bugün uygulanacağını ve hangilerinin bir sonraki bakım döngüsünü bekleyebileceğini bulmaları gerekiyor” diye yazdı.
Rapid7'nin iddiasını özetleyen Beardsley, sessiz yama uygulamasının güvenlik açığı ayrıntılarını “özel olarak” yetenekli siber suçlu saldırganlara ve zaten savunmasız ürünü hedef alan ulus devlet aktörlerine ilettiğini söyledi.
“Bütün bunlar demek oluyor ki, sessiz yama, çoğunlukla size ve kullanıcılarınıza zarar vermek isteyen çok küçük bir kitleye tam açıklama yapmakla eşdeğerdir” diye bitirdi.
Yeni TeamCity güvenlik açıkları söz konusu olduğunda, hizmetteki önceki sorunların Rus dış istihbarat servisinin siber birimi Cosy Bear olan APT29'dan başkası tarafından yoğun bir şekilde istismar edilmediği göz önüne alındığında, koordineli açıklamanın önemi daha da önem kazanmaktadır ( SVR).
Çapraz ateşte kalan TeamCity şirket içi kullanıcıları için (bulut sürümleri tamamen yamalanmıştır) rehberlik basittir; Başarısız açıklama, risk faktörlerinizi değerlendirme yeteneğinizin ortadan kaldırıldığı ve tek çözümün derhal yama yapmak olduğu anlamına gelir.