Jetzt patchen: Kritischer TeamCity-Fehler ermöglicht Serverübernahmen

JetBrains hat eine kritische Sicherheitslücke in seinem TeamCity On-Premises-Server geschlossen, die es nicht authentifizierten Remote-Angreifern ermöglichen kann, die Kontrolle über einen betroffenen Server zu erlangen und ihn für weitere böswillige Aktivitäten in der Umgebung eines Unternehmens zu nutzen.

TeamCity ist eine Software Development Lifecycle (SDLC)-Managementplattform, die etwa 30,000 Unternehmen – darunter mehrere große Marken wie Citibank, Nike und Ferrari – nutzen, um Prozesse zum Erstellen, Testen und Bereitstellen von Software zu automatisieren. Daher beherbergt es zahlreiche Daten, die für Angreifer nützlich sein können, darunter Quellcode und Signaturzertifikate, und die auch Manipulationen an kompilierten Softwareversionen oder Bereitstellungsprozessen ermöglichen könnten.

Der Fehler, verfolgt als CVE-2024-23917, stellt die Schwäche dar CWE-288Dies ist eine Authentifizierungsumgehung mithilfe eines alternativen Pfads oder Kanals. JetBrains hat den Fehler am 19. Januar identifiziert; Es betrifft alle Versionen von 2017.1 bis 2023.11.2 des TeamCity On-Premises Continuous Integration and Delivery (CI/CD)-Servers.

„Bei Missbrauch kann die Schwachstelle es einem nicht authentifizierten Angreifer mit HTTP(S)-Zugriff auf einen TeamCity-Server ermöglichen, Authentifizierungsprüfungen zu umgehen und administrative Kontrolle über diesen TeamCity-Server zu erlangen“, schrieb Daniel Gallo von TeamCity in einem Blogbeitrag zu CVE-2024-23917, Anfang dieser Woche veröffentlicht.

JetBrains hat bereits ein Update veröffentlicht, das die Schwachstelle TeamCity On-Premises behebt Version 2023.11.3, und hat auch seine eigenen TeamCity Cloud-Server gepatcht. Das Unternehmen stellte außerdem sicher, dass seine eigenen Server nicht angegriffen wurden.

Die Ausbeutungsgeschichte von TeamCity

In der Tat sind die Schwachstellen von TeamCity On-Premises nicht auf die leichte Schulter zu nehmen, da die letzte große Schwachstelle, die im Produkt entdeckt wurde, einen globalen Sicherheitsalbtraum auslöste, als verschiedene staatlich geförderte Akteure es ins Visier nahmen, um eine Reihe böswilliger Verhaltensweisen zu begehen.

In diesem Fall wurde ein öffentlicher Proof-of-Concept (PoC)-Exploit für einen kritischen RCE-Fehler (Remote Code Execution) verfolgt CVE-2023-42793 – von JetBrains gefunden und am 30. September gepatcht – löste nahezu sofortige Ausnutzung durch zwei vom nordkoreanischen Staat unterstützte Bedrohungsgruppen aus, die von Microsoft als Diamond Sleet und Onyx Sleet verfolgt werden. Die Gruppen den Fehler ausgenutzt Hintertüren und andere Implantate für die Durchführung einer breiten Palette böswilliger Aktivitäten, darunter Cyberspionage, Datendiebstahl und finanziell motivierte Angriffe, einzusetzen.

Dann im Dezember APT29 (auch bekannt als CozyBear, the Dukes, Mitternachtssturm, oder Nobelium), der Berüchtigte Russische Bedrohungsgruppe auch hinter dem SolarWinds-Hack 2020 stürzte sich auf den Fehler. Im Rahmen von Aktivitäten, die unter anderem von CISA, dem FBI und der NSA verfolgt wurden, griff die APT anfällige Server an und nutzte sie für den Erstzugriff, um Privilegien zu erweitern, sich seitlich zu bewegen, zusätzliche Hintertüren einzusetzen und andere Schritte zu unternehmen, um dauerhaften und langfristigen Zugriff sicherzustellen zu den kompromittierten Netzwerkumgebungen.

Aktualisierung oder alternative Schadensbegrenzung empfohlen

In der Hoffnung, ein ähnliches Szenario mit der neuesten Schwachstelle zu vermeiden, forderte JetBrains jeden mit betroffenen Produkten in seiner Umgebung auf, sofort auf die gepatchte Version zu aktualisieren.

Sollte dies nicht möglich sein, hat JetBrains außerdem ein Sicherheitspatch-Plugin veröffentlicht, das zum Download verfügbar ist und auf den TeamCity-Versionen 2017.1 bis 2023.11.2 installiert werden kann, um das Problem zu beheben. Das Unternehmen auch veröffentlichten Installationsanweisungen Online für das Plugin, um Kunden bei der Behebung des Problems zu helfen.

TeamCity betonte jedoch, dass das Sicherheitspatch-Plugin nur die Schwachstelle behebt und keine anderen Korrekturen bereitstellt. Kunden wird daher dringend empfohlen, die neueste Version von TeamCity On-Premises zu installieren, „um von vielen anderen Sicherheitsupdates zu profitieren“, schrieb Gallo.

Wenn eine Organisation außerdem über einen betroffenen Server verfügt, der öffentlich über das Internet zugänglich ist, und keine dieser Abhilfemaßnahmen ergreifen kann, empfiehlt JetBrains außerdem, den Server zugänglich zu machen, bis der Fehler behoben werden kann.

Wenn man die Geschichte der Ausnutzung von TeamCity-Fehlern bedenkt, ist das Patchen ein notwendiger und entscheidender erster Schritt, den Unternehmen unternehmen müssen, um das Problem in den Griff zu bekommen, stellt Brian Contos, CSO bei Sevco Security, fest. Angesichts der Tatsache, dass ein Unternehmen möglicherweise den Überblick über mit dem Internet verbundene Server verloren hat, schlägt er vor, dass möglicherweise weitere Schritte unternommen werden müssen, um eine IT-Umgebung stärker abzusichern.

„Es ist schwer genug, die Angriffsfläche zu verteidigen, die Sie kennen, aber es wird unmöglich, wenn es anfällige Server gibt, die nicht in Ihrem IT-Asset-Inventar auftauchen“, sagt Contos. „Sobald das Patchen erledigt ist, müssen Sicherheitsteams ihre Aufmerksamkeit auf einen längerfristigen, nachhaltigeren Ansatz für das Schwachstellenmanagement richten.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover