Bilgisayar korsanları, JetBrains'in Pazartesi günü yaptığı bir güncellemede ele aldığı TeamCity On-Premises'teki kritik öneme sahip kimlik doğrulama atlama güvenlik açığından (CVE-2024-27198) yararlanmaya başladı.
Kamuya açık ağda açığa çıkan TeamCity'nin yama yapılmamış örneklerinde yüzlerce yeni kullanıcının oluşturulduğu göz önüne alındığında, istismar çok büyük görünüyor.
Tedarik zinciri saldırıları riski
Açığa çıkan cihaz yanlış yapılandırmaları ve güvenlik açıkları için bir arama motoru olan LeakIX, BleepingComputer'a 1.700'den biraz fazla TeamCity sunucusunun henüz düzeltmeyi almadığını söyledi.
kaynak: LeakIX
LeakIX tarafından indekslenen savunmasız ana bilgisayarların çoğu Almanya, ABD ve Rusya'da bulunuyor ve onları uzaktan Çin, Hollanda ve Fransa takip ediyor.
Platform, bilgisayar korsanlarının halihazırda 1.440'tan fazla örneği ele geçirdiğini gösteriyor.
“Güvenliği aşılmış örneklerde 3 ile 300 arasında yüzlerce kullanıcı oluşturuldu; genellikle kalıp şu şekildedir: 8 alfanum karakterLeakIX, BleepingComputer'a şunları söyledi:
kaynak: SızıntıIX
İnternet tarama trafiğini analiz eden bir şirket olan GreyNoise da 5 Mart'ta CVE-2024-27198'den yararlanma girişimlerinde keskin bir artış kaydetti.
Buna göre GreyNoise istatistiklerigirişimlerin çoğu Amerika Birleşik Devletleri'ndeki DigitalOcean barındırma altyapısındaki sistemlerden geliyor.
LeakIX'ten Gregory Boddin, BleepingComputer'a, gözlemlenen TeamCity sunucularının yazılım oluşturmak ve dağıtmak için kullanılan üretim makineleri olduğunu söyledi.
Bu, kodun dağıtıldığı, yayınlandığı veya depolandığı ortamlara (örneğin mağazalar ve pazaryerleri, depolar, şirket altyapısı) ilişkin kimlik bilgileri gibi hassas ayrıntılar içerebileceğinden, bunların tehlikeye atılmasının tedarik zinciri saldırılarına yol açabileceği anlamına gelir.
Siber güvenlik şirketi Rapid7, güvenlik açığını ve saldırılarda bundan nasıl yararlanılabileceğini analiz eden bir blog gönderisinde aynı endişeyi dile getirdi
“Bir TeamCity sunucusunun ele geçirilmesi, bir saldırganın tüm TeamCity projeleri, yapıları, aracıları ve yapıları üzerinde tam kontrole sahip olmasına olanak tanır ve bu nedenle, bir saldırganın tedarik zinciri saldırısı gerçekleştirmesi için uygun bir konumlandırma vektörüdür” – Rapid7
Acil TeamCity güncellemesi
CVE-2024-27198'in kritik önem derecesi 10 üzerinden 9,8'dir ve TeamCity'nin şirket içi sürümünün 2023.11.4'e kadar olan tüm sürümlerini etkiler.
Sunucunun web bileşeninde bulunur ve uzak, kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan bir sunucunun denetimini yönetici ayrıcalıklarıyla ele geçirmesine izin verebilir.
Rapid7'nin baş güvenlik araştırmacısı Stephen Fewer tarafından keşfedilen güvenlik açığı Şubat ortasında JetBrains'e bildirildi ve 4 Mart'ta düzeltildi.
Rapid7, soruna neyin sebep olduğuna ilişkin eksiksiz bir teknik ayrıntı yayınladı ve bir saldırganın uzaktan kod yürütmek için bundan nasıl yararlanabileceğini gösterdi.
JetBrains Pazartesi günü TeamCity 2023.11.4'ün CVE-2024-27198 düzeltmesiyle yayınlandığını duyurdu ve tüm kullanıcıları bulut sunucularını en son sürüme güncellemeye teşvik etti.
Halihazırda gözlemlenen devasa istismar nedeniyle şirket içi TeamCity bulut sunucularının yöneticilerinin en yeni sürümü yüklemeye yönelik acil adımlar atması gerekiyor.