अभी पैच करें: क्रिटिकल टीमसिटी बग सर्वर टेकओवर की अनुमति देता है

अभी पैच करें: क्रिटिकल टीमसिटी बग सर्वर टेकओवर की अनुमति देता है

समय टिकट: 7 फरवरी, 2024 अपराह्न 1:17 बजे
अभी पैच करें: क्रिटिकल टीमसिटी बग सर्वर टेकओवर प्लेटोब्लॉकचेन डेटा इंटेलिजेंस की अनुमति देता है। लंबवत खोज. ऐ.

JetBrains ने अपने TeamCity ऑन-प्रिमाइसेस सर्वर में एक महत्वपूर्ण सुरक्षा भेद्यता को ठीक कर दिया है जो अप्रमाणित दूरस्थ हमलावरों को किसी प्रभावित सर्वर पर नियंत्रण हासिल करने और किसी संगठन के वातावरण में आगे की दुर्भावनापूर्ण गतिविधि करने के लिए इसका उपयोग करने की अनुमति दे सकता है।

टीमसिटी एक सॉफ्टवेयर डेवलपमेंट लाइफसाइकल (एसडीएलसी) प्रबंधन मंच है जिसका उपयोग लगभग 30,000 संगठन - जिनमें सिटीबैंक, नाइकी और फेरारी जैसे कई प्रमुख ब्रांड शामिल हैं - सॉफ्टवेयर बनाने, परीक्षण करने और तैनात करने की प्रक्रियाओं को स्वचालित करने के लिए उपयोग करते हैं। इस प्रकार, यह ढेरों डेटा का घर है जो हमलावरों के लिए उपयोगी हो सकता है, जिसमें स्रोत कोड और हस्ताक्षर प्रमाणपत्र शामिल हैं, और संकलित संस्करण सॉफ़्टवेयर या परिनियोजन प्रक्रियाओं के साथ छेड़छाड़ की अनुमति भी दे सकता है।

दोष, के रूप में ट्रैक किया गया CVE-2024-23917, कमजोरी प्रस्तुत करता है सीडब्ल्यूई-288, जो एक वैकल्पिक पथ या चैनल का उपयोग करके प्रमाणीकरण बायपास है। JetBrains ने 19 जनवरी को दोष की पहचान की; यह इसके टीमसिटी ऑन-प्रिमाइसेस निरंतर एकीकरण और डिलीवरी (सीआई/सीडी) सर्वर के 2017.1 से 2023.11.2 तक सभी संस्करणों को प्रभावित करता है।

टीमसिटी के डैनियल गैलो ने लिखा, "यदि इसका दुरुपयोग किया जाता है, तो यह दोष प्रमाणीकरण जांच को बायपास करने और उस टीमसिटी सर्वर का प्रशासनिक नियंत्रण हासिल करने के लिए टीमसिटी सर्वर तक HTTP (एस) पहुंच वाले एक अप्रमाणित हमलावर को सक्षम कर सकता है।" CVE-2024-23917 का विवरण देने वाले एक ब्लॉग पोस्ट में, इस सप्ताह के आरंभ में प्रकाशित।

JetBrains ने पहले ही एक अपडेट जारी कर दिया है जो टीमसिटी ऑन-प्रिमाइसेस नामक भेद्यता को संबोधित करता है 2023.11.3 संस्करण, और अपने स्वयं के टीमसिटी क्लाउड सर्वर को भी पैच किया। कंपनी ने यह भी सत्यापित किया कि उसके अपने सर्वर पर हमला नहीं किया गया था।

टीमसिटी का शोषण का इतिहास

वास्तव में, टीमसिटी ऑन-प्रिमाइसेस की खामियों को हल्के में नहीं लिया जाना चाहिए, क्योंकि उत्पाद में खोजी गई आखिरी बड़ी खामी ने वैश्विक सुरक्षा दुःस्वप्न को जन्म दिया जब विभिन्न राज्य-प्रायोजित अभिनेताओं ने इसे दुर्भावनापूर्ण व्यवहार की एक श्रृंखला में शामिल होने के लिए लक्षित किया।

उस स्थिति में, एक सार्वजनिक प्रूफ़-ऑफ़-कॉन्सेप्ट (PoC) एक महत्वपूर्ण रिमोट कोड निष्पादन (RCE) बग के लिए शोषण करता है जिसे इस प्रकार ट्रैक किया जाता है CVE-2023-42793 - जेटब्रेन्स द्वारा पाया गया और पिछले 30 सितंबर को पैच किया गया - माइक्रोसॉफ्ट द्वारा डायमंड स्लीट और ओनिक्स स्लीट के रूप में ट्रैक किए गए दो उत्तर कोरियाई राज्य समर्थित खतरा समूहों द्वारा तत्काल शोषण शुरू किया गया। समूह खामी का फायदा उठाया साइबर जासूसी, डेटा चोरी और वित्तीय रूप से प्रेरित हमलों सहित दुर्भावनापूर्ण गतिविधियों की एक विस्तृत श्रृंखला को अंजाम देने के लिए पिछले दरवाजे और अन्य प्रत्यारोपण को छोड़ना।

फिर दिसंबर में, APT29 (उर्फ कोज़ीबियर, ड्यूक्स, आधी रात का बर्फ़ीला तूफ़ान, या नोबेलियम), कुख्यात रूसी खतरा समूह 2020 सोलरविंड्स हैक के पीछे भी दोष पर झपट पड़े. सीआईएसए, एफबीआई और एनएसए द्वारा ट्रैक की गई गतिविधि में, एपीटी ने कमजोर सर्वरों पर हमला किया, विशेषाधिकारों को बढ़ाने, बाद में स्थानांतरित करने, अतिरिक्त बैकडोर तैनात करने और लगातार और दीर्घकालिक पहुंच सुनिश्चित करने के लिए अन्य कदम उठाने के लिए प्रारंभिक पहुंच के लिए उनका उपयोग किया। समझौता किए गए नेटवर्क वातावरण के लिए।

अपने नवीनतम दोष के साथ इसी तरह के परिदृश्य से बचने की उम्मीद करते हुए, JetBrains ने अपने वातावरण में प्रभावित उत्पादों वाले किसी भी व्यक्ति से तुरंत पैच किए गए संस्करण को अपडेट करने का आग्रह किया।

यदि यह संभव नहीं है, तो JetBrains ने एक सुरक्षा पैच प्लगइन भी जारी किया है जो डाउनलोड के लिए उपलब्ध है और इसे TeamCity संस्करण 2017.1 से 2023.11.2 पर इंस्टॉल किया जा सकता है जो समस्या को ठीक कर देगा। कंपनी भी पोस्ट किए गए इंस्टॉलेशन निर्देश ग्राहकों को समस्या को कम करने में मदद करने के लिए प्लगइन के लिए ऑनलाइन।

हालांकि टीमसिटी ने इस बात पर जोर दिया कि सुरक्षा पैच प्लगइन केवल भेद्यता को संबोधित करेगा और अन्य सुधार प्रदान नहीं करेगा, इसलिए ग्राहकों को "कई अन्य सुरक्षा अद्यतनों से लाभ उठाने के लिए" टीमसिटी ऑन-प्रिमाइसेस के नवीनतम संस्करण को स्थापित करने की अत्यधिक अनुशंसा की जाती है, गैलो ने लिखा।

इसके अलावा, यदि किसी संगठन के पास एक प्रभावित सर्वर है जो इंटरनेट पर सार्वजनिक रूप से पहुंच योग्य है और उन शमन कदमों में से कोई भी नहीं उठा सकता है, तो JetBrains ने सिफारिश की है कि सर्वर को तब तक पहुंच योग्य बनाया जाए जब तक कि दोष को कम नहीं किया जा सके।

जब टीमसिटी बग की बात आती है तो शोषण के इतिहास को ध्यान में रखते हुए, पैचिंग एक आवश्यक और महत्वपूर्ण पहला कदम है जिसे संगठनों को इस मुद्दे को संभालने के लिए उठाने की ज़रूरत है, ब्रायन कॉन्टोस, सीएसओ, सेवको सिक्योरिटी, मानते हैं। हालाँकि, यह देखते हुए कि ऐसे इंटरनेट-फेसिंग सर्वर हो सकते हैं जिनका किसी कंपनी ने ट्रैक खो दिया है, उनका सुझाव है कि आईटी वातावरण को और अधिक मजबूती से बंद करने के लिए और कदम उठाने की आवश्यकता हो सकती है।

कॉन्टोस का कहना है, "जिस हमले की सतह के बारे में आप जानते हैं उसका बचाव करना काफी कठिन है, लेकिन यह तब असंभव हो जाता है जब कमजोर सर्वर आपके आईटी परिसंपत्ति सूची में दिखाई नहीं देते हैं।" "एक बार जब पैचिंग का ध्यान रखा जाता है, तो सुरक्षा टीमों को अपना ध्यान भेद्यता प्रबंधन के लिए दीर्घकालिक, अधिक टिकाऊ दृष्टिकोण पर लगाना चाहिए।"

समय टिकट:

से अधिक डार्क रीडिंग