JetBrains, 4 Mart 2024'te TeamCity sunucusundaki iki ciddi güvenlik açığı hakkında bir uyarı yayınladı. Bu kusurlar, TeamCity şirket içi sunucusuna HTTP(S) erişimi olan, kimliği doğrulanmamış uzak bir saldırgan tarafından, kimlik doğrulama kontrollerini atlamak ve TeamCity sunucusunun idari kontrolünü ele geçirmek için kullanılabilir.
TeamCity, JetBrains'in geliştiricilerin kod değişikliklerini günde birkaç kez paylaşılan bir havuza göndermesine olanak tanıyan bir yapı yönetimi ve sürekli entegrasyon ve dağıtım sunucusudur. Yeni değişikliklerin mevcut kod tabanına iyi bir şekilde entegre olmasını ve bu nedenle sorunların erken tespit edilmesinde kullanılabilmesini sağlamak için her işlemin ardından otomatik bir yapı gelir.
TeamCity sunucusunun ele geçirilmesi, saldırganın tüm TeamCity projeleri, yapıları, aracıları ve yapıları üzerinde tam kontrol sahibi olmasına olanak tanır. Bu, projelerinizin kullanım durumuna bağlı olarak tedarik zinciri saldırısına yol açacak uygun bir saldırı vektörü oluşturabilir.
Bu iki güvenlik açığı, CVSS puanı 9,8 olan bir kimlik doğrulama atlama güvenlik açığı olan CVE-2024-27198 ve CVSS puanı 7,3 olan bir yol geçiş sorunu olan CVE-2024-27199'dur. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna CVE-2024-27198'i ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının, cihazlarını aktif tehditlere karşı korumak için 28 Mart 2024'e kadar bu güvenlik açığını gidermeleri gerektiği anlamına geliyor.
Bu iki güvenlik açığı, bir saldırganın TeamCity sunucusunda tüm TeamCity projeleri, yapıları, aracıları ve yapıları üzerinde tam kontrole sahip yeni yönetici hesapları oluşturmasına olanak tanır.
İstismar kodu çevrimiçi olarak kolayca bulunabiliyor ve MetaSploit çerçevesi gibi saldırgan güvenlik araçlarına zaten entegre edilmiş durumda.
Bu nedenle araştırmacıların artık bu güvenlik açıklarının kötüye kullanıldığını bildirmesi şaşırtıcı değil.
Bleeping Computer, saldırganların halihazırda 1.440'tan fazla örneği ele geçirdiğini bildirirken, Shadowserver'ın savunmasız örneklere yönelik taraması, ABD ve Almanya'nın en çok etkilenen ülkeler olduğunu gösterdi.
Güvenlik açıkları, 2023.11.3'e kadar tüm TeamCity şirket içi sürümlerini etkiliyor ve 2023.11.4 sürümünde düzeltildi. TeamCity Cloud müşterilerinin sunucularına zaten yama uygulandı ve JetBrains'e göre saldırıya uğramadılar.
Sunucunuzu güncellemek için en son sürümü (2023.11.4) indirin veya TeamCity içindeki otomatik güncelleme seçeneğini kullanın.
JetBrains ayrıca 2023.11.4 sürümüne yükseltme yapamayan müşteriler için bir güvenlik yaması eklentisi de sunmuştur. Biri TeamCity 2018.2 ve daha yenisi için, diğeri TeamCity 2018.1 ve daha eskisi için olmak üzere iki güvenlik düzeltme eki eklentisi vardır. Eklentinin kurulumu hakkında bilgi için TeamCity eklentisi kurulum talimatlarına bakın.
Sunucunuz internet üzerinden herkesin erişimine açıksa ve sorunu hemen çözemiyorsanız, muhtemelen sunucunuzu mümkün olana kadar erişilemez hale getirmelisiniz.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi'ni kullanarak güvenlik açıklarını yedekte tutun.