JetBrains ने अपने TeamCity ऑन-प्रिमाइसेस सर्वर में एक महत्वपूर्ण सुरक्षा भेद्यता को ठीक कर दिया है जो अप्रमाणित दूरस्थ हमलावरों को किसी प्रभावित सर्वर पर नियंत्रण हासिल करने और किसी संगठन के वातावरण में आगे की दुर्भावनापूर्ण गतिविधि करने के लिए इसका उपयोग करने की अनुमति दे सकता है।
टीमसिटी एक सॉफ्टवेयर डेवलपमेंट लाइफसाइकल (एसडीएलसी) प्रबंधन मंच है जिसका उपयोग लगभग 30,000 संगठन - जिनमें सिटीबैंक, नाइकी और फेरारी जैसे कई प्रमुख ब्रांड शामिल हैं - सॉफ्टवेयर बनाने, परीक्षण करने और तैनात करने की प्रक्रियाओं को स्वचालित करने के लिए उपयोग करते हैं। इस प्रकार, यह ढेरों डेटा का घर है जो हमलावरों के लिए उपयोगी हो सकता है, जिसमें स्रोत कोड और हस्ताक्षर प्रमाणपत्र शामिल हैं, और संकलित संस्करण सॉफ़्टवेयर या परिनियोजन प्रक्रियाओं के साथ छेड़छाड़ की अनुमति भी दे सकता है।
दोष, के रूप में ट्रैक किया गया CVE-2024-23917, कमजोरी प्रस्तुत करता है सीडब्ल्यूई-288, जो एक वैकल्पिक पथ या चैनल का उपयोग करके प्रमाणीकरण बायपास है। JetBrains ने 19 जनवरी को दोष की पहचान की; यह इसके टीमसिटी ऑन-प्रिमाइसेस निरंतर एकीकरण और डिलीवरी (सीआई/सीडी) सर्वर के 2017.1 से 2023.11.2 तक सभी संस्करणों को प्रभावित करता है।
टीमसिटी के डैनियल गैलो ने लिखा, "यदि इसका दुरुपयोग किया जाता है, तो यह दोष प्रमाणीकरण जांच को बायपास करने और उस टीमसिटी सर्वर का प्रशासनिक नियंत्रण हासिल करने के लिए टीमसिटी सर्वर तक HTTP (एस) पहुंच वाले एक अप्रमाणित हमलावर को सक्षम कर सकता है।" CVE-2024-23917 का विवरण देने वाले एक ब्लॉग पोस्ट में, इस सप्ताह के आरंभ में प्रकाशित।
JetBrains ने पहले ही एक अपडेट जारी कर दिया है जो टीमसिटी ऑन-प्रिमाइसेस नामक भेद्यता को संबोधित करता है 2023.11.3 संस्करण, और अपने स्वयं के टीमसिटी क्लाउड सर्वर को भी पैच किया। कंपनी ने यह भी सत्यापित किया कि उसके अपने सर्वर पर हमला नहीं किया गया था।
टीमसिटी का शोषण का इतिहास
वास्तव में, टीमसिटी ऑन-प्रिमाइसेस की खामियों को हल्के में नहीं लिया जाना चाहिए, क्योंकि उत्पाद में खोजी गई आखिरी बड़ी खामी ने वैश्विक सुरक्षा दुःस्वप्न को जन्म दिया जब विभिन्न राज्य-प्रायोजित अभिनेताओं ने इसे दुर्भावनापूर्ण व्यवहार की एक श्रृंखला में शामिल होने के लिए लक्षित किया।
उस स्थिति में, एक सार्वजनिक प्रूफ़-ऑफ़-कॉन्सेप्ट (PoC) एक महत्वपूर्ण रिमोट कोड निष्पादन (RCE) बग के लिए शोषण करता है जिसे इस प्रकार ट्रैक किया जाता है CVE-2023-42793 - जेटब्रेन्स द्वारा पाया गया और पिछले 30 सितंबर को पैच किया गया - माइक्रोसॉफ्ट द्वारा डायमंड स्लीट और ओनिक्स स्लीट के रूप में ट्रैक किए गए दो उत्तर कोरियाई राज्य समर्थित खतरा समूहों द्वारा तत्काल शोषण शुरू किया गया। समूह खामी का फायदा उठाया साइबर जासूसी, डेटा चोरी और वित्तीय रूप से प्रेरित हमलों सहित दुर्भावनापूर्ण गतिविधियों की एक विस्तृत श्रृंखला को अंजाम देने के लिए पिछले दरवाजे और अन्य प्रत्यारोपण को छोड़ना।
फिर दिसंबर में, APT29 (उर्फ कोज़ीबियर, ड्यूक्स, आधी रात का बर्फ़ीला तूफ़ान, या नोबेलियम), कुख्यात रूसी खतरा समूह 2020 सोलरविंड्स हैक के पीछे भी दोष पर झपट पड़े. सीआईएसए, एफबीआई और एनएसए द्वारा ट्रैक की गई गतिविधि में, एपीटी ने कमजोर सर्वरों पर हमला किया, विशेषाधिकारों को बढ़ाने, बाद में स्थानांतरित करने, अतिरिक्त बैकडोर तैनात करने और लगातार और दीर्घकालिक पहुंच सुनिश्चित करने के लिए अन्य कदम उठाने के लिए प्रारंभिक पहुंच के लिए उनका उपयोग किया। समझौता किए गए नेटवर्क वातावरण के लिए।
अद्यतन या वैकल्पिक शमन की अनुशंसा की गई
अपने नवीनतम दोष के साथ इसी तरह के परिदृश्य से बचने की उम्मीद करते हुए, JetBrains ने अपने वातावरण में प्रभावित उत्पादों वाले किसी भी व्यक्ति से तुरंत पैच किए गए संस्करण को अपडेट करने का आग्रह किया।
यदि यह संभव नहीं है, तो JetBrains ने एक सुरक्षा पैच प्लगइन भी जारी किया है जो डाउनलोड के लिए उपलब्ध है और इसे TeamCity संस्करण 2017.1 से 2023.11.2 पर इंस्टॉल किया जा सकता है जो समस्या को ठीक कर देगा। कंपनी भी पोस्ट किए गए इंस्टॉलेशन निर्देश ग्राहकों को समस्या को कम करने में मदद करने के लिए प्लगइन के लिए ऑनलाइन।
हालांकि टीमसिटी ने इस बात पर जोर दिया कि सुरक्षा पैच प्लगइन केवल भेद्यता को संबोधित करेगा और अन्य सुधार प्रदान नहीं करेगा, इसलिए ग्राहकों को "कई अन्य सुरक्षा अद्यतनों से लाभ उठाने के लिए" टीमसिटी ऑन-प्रिमाइसेस के नवीनतम संस्करण को स्थापित करने की अत्यधिक अनुशंसा की जाती है, गैलो ने लिखा।
इसके अलावा, यदि किसी संगठन के पास एक प्रभावित सर्वर है जो इंटरनेट पर सार्वजनिक रूप से पहुंच योग्य है और उन शमन कदमों में से कोई भी नहीं उठा सकता है, तो JetBrains ने सिफारिश की है कि सर्वर को तब तक पहुंच योग्य बनाया जाए जब तक कि दोष को कम नहीं किया जा सके।
जब टीमसिटी बग की बात आती है तो शोषण के इतिहास को ध्यान में रखते हुए, पैचिंग एक आवश्यक और महत्वपूर्ण पहला कदम है जिसे संगठनों को इस मुद्दे को संभालने के लिए उठाने की ज़रूरत है, ब्रायन कॉन्टोस, सीएसओ, सेवको सिक्योरिटी, मानते हैं। हालाँकि, यह देखते हुए कि ऐसे इंटरनेट-फेसिंग सर्वर हो सकते हैं जिनका किसी कंपनी ने ट्रैक खो दिया है, उनका सुझाव है कि आईटी वातावरण को और अधिक मजबूती से बंद करने के लिए और कदम उठाने की आवश्यकता हो सकती है।
कॉन्टोस का कहना है, "जिस हमले की सतह के बारे में आप जानते हैं उसका बचाव करना काफी कठिन है, लेकिन यह तब असंभव हो जाता है जब कमजोर सर्वर आपके आईटी परिसंपत्ति सूची में दिखाई नहीं देते हैं।" "एक बार जब पैचिंग का ध्यान रखा जाता है, तो सुरक्षा टीमों को अपना ध्यान भेद्यता प्रबंधन के लिए दीर्घकालिक, अधिक टिकाऊ दृष्टिकोण पर लगाना चाहिए।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover
- :हैस
- :है
- :नहीं
- $यूपी
- 000
- 1
- 11
- 19
- 2017
- 2020
- 2023
- 30
- 7
- a
- About
- पहुँच
- सुलभ
- गतिविधियों
- गतिविधि
- अभिनेताओं
- अतिरिक्त
- पता
- पतों
- प्रशासनिक
- लग जाना
- उर्फ
- सब
- अनुमति देना
- की अनुमति देता है
- पहले ही
- भी
- वैकल्पिक
- के बीच में
- an
- और
- किसी
- दृष्टिकोण
- APT
- हैं
- AS
- आस्ति
- At
- आक्रमण
- आक्रांता
- आक्रमण
- ध्यान
- प्रमाणीकरण
- को स्वचालित रूप से
- उपलब्ध
- से बचने
- पिछले दरवाजे
- BE
- हो जाता है
- व्यवहार
- पीछे
- लाभ
- ब्लॉग
- ब्रांडों
- ब्रायन
- दोष
- कीड़े
- निर्माण
- लेकिन
- by
- उपमार्ग
- कर सकते हैं
- कौन
- ले जाने के
- मामला
- प्रमाण पत्र
- चैनल
- जाँचता
- सिटीबैंक
- बादल
- कोड
- आता है
- कंपनी
- संकलित
- छेड़छाड़ की गई
- निरंतर
- नियंत्रण
- सका
- महत्वपूर्ण
- महत्वपूर्ण
- ग्राहक
- साइबर
- डैनियल
- तिथि
- दिसंबर
- प्रसव
- तैनात
- तैनाती
- विस्तृतीकरण
- विकास
- हीरा
- की खोज
- डॉन
- नीचे
- डाउनलोड
- बूंद
- पूर्व
- भी
- सक्षम
- लगाना
- पर्याप्त
- सुनिश्चित
- वातावरण
- वातावरण
- ख़राब करना
- जासूसी
- निष्पादन
- शोषण करना
- शोषण
- एफबीआई
- फेरारी
- आर्थिक रूप से
- दृढ़ता से
- प्रथम
- फिक्स
- स्थिर
- दोष
- खामियां
- के लिए
- पाया
- से
- आगे
- लाभ
- दी
- वैश्विक
- समूह की
- हैक
- अंकित किया
- संभालना
- कठिन
- he
- मदद
- अत्यधिक
- इतिहास
- होम
- तथापि
- एचटीएमएल
- HTTPS
- पहचान
- if
- तत्काल
- तुरंत
- असंभव
- in
- सहित
- प्रारंभिक
- स्थापित
- स्थापना
- installed
- एकीकरण
- इंटरनेट
- सूची
- प्रतिसाद नहीं
- मुद्दा
- IT
- आईटी इस
- जॉन
- जेपीजी
- जानना
- कोरियाई
- पिछली बार
- ताज़ा
- जीवन चक्र
- हलके से
- पसंद
- ताला
- लंबे समय तक
- खोया
- बनाया गया
- प्रमुख
- दुर्भावनापूर्ण
- प्रबंध
- बहुत
- मई..
- माइक्रोसॉफ्ट
- कम करना
- शमन
- अधिक
- प्रेरित
- चाल
- चाहिए
- निकट
- आवश्यक
- आवश्यकता
- नेटवर्क
- नाइके
- NIST
- उत्तर
- कुख्यात
- अभी
- एनएसए
- ध्यान से देखता है
- of
- on
- एक बार
- ऑनलाइन
- केवल
- गोमेद
- or
- संगठन
- संगठनों
- अन्य
- अन्य
- आउट
- के ऊपर
- अपना
- पैच
- पैच
- पथ
- निष्पादन
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लगाना
- PoC
- संभव
- पद
- प्रस्तुत
- विशेषाधिकारों
- प्रक्रियाओं
- एस्ट्रो मॉल
- उत्पाद
- प्रदान करना
- सार्वजनिक
- सार्वजनिक रूप से
- प्रकाशित
- रेंज
- की सिफारिश की
- रिहा
- दूरस्थ
- s
- कहते हैं
- परिदृश्य
- सुरक्षा
- सुरक्षा पैच
- सुरक्षा भेद्यता
- सात
- सर्वर
- सर्वर
- कई
- दिखाना
- पर हस्ताक्षर
- समान
- So
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- ओरियन
- स्रोत
- स्रोत कोड
- प्रायोजित
- कदम
- कदम
- ऐसा
- पता चलता है
- सतह
- स्थायी
- लेना
- लिया
- लक्षित
- टीमों
- परीक्षण
- कि
- RSI
- चोरी
- लेकिन हाल ही
- उन
- वहाँ।
- इसका
- इस सप्ताह
- उन
- धमकी
- यहाँ
- सेवा मेरे
- ट्रैक
- शुरू हो रहा
- मोड़
- दो
- जब तक
- अपडेट
- अपडेट
- आग्रह किया
- उपयोग
- उपयोगी
- का उपयोग
- विभिन्न
- सत्यापित
- संस्करण
- संस्करणों
- भेद्यता
- चपेट में
- दुर्बलता
- सप्ताह
- थे
- कब
- कौन कौन से
- चौड़ा
- विस्तृत श्रृंखला
- मर्जी
- साथ में
- अंदर
- लिखा था
- आप
- आपका
- जेफिरनेट