Korjaus nyt: Kriittinen TeamCity-virhe mahdollistaa palvelinten haltuunottamisen

JetBrains on korjannut TeamCity On-Premises -palvelimensa kriittisen tietoturvahaavoittuvuuden, jonka avulla todentamattomat etähyökkääjät voivat saada hallintaansa palvelimen, johon vaikuttaa, ja käyttää sitä haitallisten toimintojen suorittamiseen organisaation ympäristössä.

TeamCity on ohjelmistokehityksen elinkaaren (SDLC) hallintaalusta, jota noin 30,000 XNUMX organisaatiota – mukaan lukien useat suuret tuotemerkit, kuten Citibank, Nike ja Ferrari – käyttää ohjelmistojen rakentamisen, testaamisen ja käyttöönoton automatisoimiseen. Sellaisenaan se sisältää lukuisia tietoja, joista voi olla hyötyä hyökkääjille, kuten lähdekoodia ja allekirjoitusvarmenteita, ja se voi myös mahdollistaa käännettyjen ohjelmistojen tai käyttöönottoprosessien peukaloinnin.

Vika, jäljitetty kuten CVE-2024-23917, esittelee heikkouden CWE-288, joka on todennuksen ohitus, joka käyttää vaihtoehtoista polkua tai kanavaa. JetBrains tunnisti vian 19. tammikuuta; se vaikuttaa kaikkiin sen TeamCity On-Premises jatkuvan integrointi- ja toimituspalvelimen (CI/CD) versioihin 2017.1–2023.11.2.

"Jos virhettä käytetään väärin, todentamaton hyökkääjä, jolla on HTTP(S)-yhteys TeamCity-palvelimeen, voi ohittaa todennustarkastukset ja saada kyseisen TeamCity-palvelimen hallinnollisen hallinnan", TeamCityn Daniel Gallo kirjoitti. blogitekstissä, jossa kerrotaan yksityiskohtaisesti CVE-2024-23917, julkaistu aiemmin tällä viikolla.

JetBrains on jo julkaissut päivityksen, joka korjaa haavoittuvuuden, TeamCity On-Premises version 2023.11.3ja korjasi myös omat TeamCity Cloud -palvelimensa. Yritys varmisti myös, että sen omiin palvelimiin ei hyökätty.

TeamCityn hyväksikäytön historia

TeamCity On-Premisesin puutteita ei todellakaan pidä ottaa kevyesti, sillä viimeinen tuotteessa löydetty suuri puute vauhditti maailmanlaajuista turvallisuuspainajaista, kun useat valtion tukemat toimijat kohdistavat sen ryhtyäkseen erilaisiin haitallisiin toimiin.

Siinä tapauksessa julkisen käsitteen todisteen (PoC) hyväksikäyttö kriittistä etäkoodin suorittamista (RCE) varten, jota seurataan CVE-2023-42793 — JetBrains löysi ja korjasi viime syyskuun 30. päivänä — laukaisi lähes välittömän hyväksikäytön kahdessa Pohjois-Korean valtion tukemassa uhkaryhmässä, joita Microsoft jäljitti nimillä Diamond Sleet ja Onyx Sleet. Ryhmät käyttänyt vikaa hyväkseen pudottaa takaovia ja muita implantteja monenlaisten haitallisten toimintojen suorittamiseen, mukaan lukien kybervakoilu, tietovarkaudet ja taloudellisesti motivoidut hyökkäykset.

Sitten joulukuussa APT29 (alias CozyBear, the Dukes, Midnight Blizzardtai Nobelium), pahamaineinen Venäjän uhkaryhmä myös vuoden 2020 SolarWinds-hakkeroinnin takana törmäsi vikaan. Muun muassa CISA:n, FBI:n ja NSA:n jäljittämässä toiminnassa APT haavoittui haavoittuviin palvelimiin käyttämällä niitä alkupääsyyn laajentaakseen oikeuksia, siirtyäkseen sivusuunnassa, ottaakseen käyttöön lisätakaovia ja ryhtyäkseen muihin toimenpiteisiin jatkuvan ja pitkäaikaisen pääsyn varmistamiseksi. vaarantuneisiin verkkoympäristöihin.

Päivitystä tai vaihtoehtoista lieventämistä suositellaan

JetBrains toivoi välttävänsä samanlaisen skenaarion viimeisimmän virheensä kanssa, ja se kehotti kaikkia, joiden ympäristössä on ongelman kohteena olevia tuotteita, päivittämään välittömästi korjattuun versioon.

Jos tämä ei ole mahdollista, JetBrains julkaisi myös tietoturvakorjauslaajennuksen, joka on ladattavissa ja joka voidaan asentaa TeamCity-versioihin 2017.1–2023.11.2, joka korjaa ongelman. Yritys myös lähetetty asennusohjeet verkossa, jotta laajennus auttaa asiakkaita lieventämään ongelmaa.

TeamCity painotti kuitenkin, että tietoturvakorjauslaajennus korjaa vain haavoittuvuuden eikä tarjoa muita korjauksia, joten asiakkaita suositellaan asentamaan TeamCity On-Premisesin uusin versio "hyötyäkseen monista muista tietoturvapäivityksistä", Gallo kirjoitti.

Lisäksi, jos organisaatiolla on palvelin, jota se koskee, ja joka on julkisesti käytettävissä Internetin kautta, eikä se voi toteuttaa kumpaakaan näistä lieventämistoimenpiteistä, JetBrains suositteli, että palvelin on käytettävissä, kunnes vika voidaan korjata.

Ottaen huomioon TeamCity-virheiden hyväksikäytön historian, korjaus on välttämätön ja ratkaiseva ensimmäinen askel, joka organisaatioiden on otettava ongelman ratkaisemiseksi, Sevco Securityn CSO Brian Contos huomauttaa. Hän kuitenkin ehdottaa, että IT-ympäristön lukitsemiseksi tiukemmin on ryhdyttävä lisätoimiin, kun otetaan huomioon, että yhtiössä saattaa olla Internetiin päin olevia palvelimia.

"On tarpeeksi vaikeaa puolustaa tuntemaasi hyökkäyspintaa, mutta siitä tulee mahdotonta, kun on haavoittuvia palvelimia, jotka eivät näy IT-varastossasi", Contos sanoo. "Kun korjaus on hoidettu, turvallisuustiimien on kiinnitettävä huomionsa pidemmän aikavälin kestävämpään lähestymistapaan haavoittuvuuksien hallintaan."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover