Tambal Sekarang: Bug Penting TeamCity Memungkinkan Pengambilalihan Server

JetBrains telah menambal kerentanan keamanan kritis di server TeamCity On-Premises yang memungkinkan penyerang jarak jauh yang tidak diautentikasi mendapatkan kendali atas server yang terpengaruh dan menggunakannya untuk melakukan aktivitas berbahaya lebih lanjut dalam lingkungan organisasi.

TeamCity adalah platform manajemen siklus hidup pengembangan perangkat lunak (SDLC) yang digunakan oleh sekitar 30,000 organisasi — termasuk beberapa merek besar seperti Citibank, Nike, dan Ferrari — untuk mengotomatiskan proses pembuatan, pengujian, dan penerapan perangkat lunak. Dengan demikian, ini adalah rumah bagi sejumlah data yang dapat berguna bagi penyerang, termasuk kode sumber dan sertifikat penandatanganan, dan juga memungkinkan gangguan terhadap versi perangkat lunak yang dikompilasi atau proses penerapan.

Cacatnya, dilacak sebagai CVE-2024-23917, menyajikan kelemahannya CWE-288, yang merupakan bypass otentikasi menggunakan jalur atau saluran alternatif. JetBrains mengidentifikasi kelemahan tersebut pada 19 Januari; ini memengaruhi semua versi dari 2017.1 hingga 2023.11.2 server integrasi dan pengiriman berkelanjutan (CI/CD) TeamCity On-Premises.

“Jika disalahgunakan, kelemahan ini dapat memungkinkan penyerang yang tidak diautentikasi dengan akses HTTP(S) ke server TeamCity untuk melewati pemeriksaan otentikasi dan mendapatkan kendali administratif atas server TeamCity tersebut,” tulis Daniel Gallo dari TeamCity. dalam postingan blog yang merinci CVE-2024-23917, diterbitkan awal pekan ini.

JetBrains telah merilis pembaruan yang mengatasi kerentanan, TeamCity On-Premises versi 2023.11.3, dan juga menambal server TeamCity Cloud miliknya sendiri. Perusahaan juga memverifikasi bahwa servernya sendiri tidak diserang.

Sejarah Eksploitasi TeamCity

Memang benar, kelemahan TeamCity On-Premises tidak bisa dianggap enteng, karena kelemahan besar terakhir yang ditemukan pada produk memicu mimpi buruk keamanan global ketika berbagai aktor yang disponsori negara menargetkan produk tersebut untuk terlibat dalam berbagai perilaku jahat.

Dalam hal ini, eksploitasi bukti konsep (PoC) publik untuk bug kritis eksekusi kode jarak jauh (RCE) dilacak sebagai CVE-2023-42793 — ditemukan oleh JetBrains dan ditambal pada 30 September lalu — hampir memicu eksploitasi oleh dua kelompok ancaman yang didukung negara Korea Utara yang dilacak oleh Microsoft sebagai Diamond Sleet dan Onyx Sleet. Kelompok mengeksploitasi kelemahan tersebut untuk melepaskan pintu belakang dan implan lainnya karena melakukan berbagai aktivitas jahat, termasuk spionase dunia maya, pencurian data, dan serangan bermotif keuangan.

Kemudian pada bulan Desember, APT29 (alias CozyBear, the Dukes, Badai Salju Tengah Malam, atau Nobelium), yang terkenal kejam Kelompok ancaman Rusia juga di balik peretasan SolarWinds tahun 2020 menyerang kekurangannya. Dalam aktivitas yang dilacak oleh CISA, FBI, dan NSA, antara lain, APT membobol server yang rentan, menggunakannya sebagai akses awal guna meningkatkan hak istimewa, bergerak ke samping, menerapkan pintu belakang tambahan, dan mengambil langkah lain untuk memastikan akses yang persisten dan berjangka panjang. ke lingkungan jaringan yang dikompromikan.

Pembaruan atau Mitigasi Alternatif Direkomendasikan

Berharap untuk menghindari skenario serupa dengan kelemahan terbarunya, JetBrains mendesak siapa pun yang memiliki produk yang terpengaruh di lingkungan mereka untuk segera memperbarui ke versi yang telah ditambal.

Jika hal ini tidak memungkinkan, JetBrains juga merilis plugin patch keamanan yang tersedia untuk diunduh dan dapat diinstal pada TeamCity versi 2017.1 hingga 2023.11.2 yang akan memperbaiki masalah tersebut. Perusahaan juga petunjuk pemasangan yang diposting online untuk plugin guna membantu pelanggan mengurangi masalah ini.

Namun TeamCity menekankan bahwa plugin patch keamanan hanya akan mengatasi kerentanan dan tidak memberikan perbaikan lainnya, sehingga pelanggan sangat disarankan untuk menginstal versi terbaru TeamCity On-Premises “untuk mendapatkan manfaat dari banyak pembaruan keamanan lainnya,” tulis Gallo.

Lebih lanjut, jika sebuah organisasi memiliki server yang terkena dampak dan dapat diakses publik melalui Internet dan tidak dapat mengambil salah satu langkah mitigasi tersebut, JetBrains merekomendasikan agar server dibuat dapat diakses hingga kelemahan tersebut dapat dikurangi.

Mengingat sejarah eksploitasi bug TeamCity, patching adalah langkah pertama yang penting dan krusial yang harus diambil oleh organisasi untuk menangani masalah ini, menurut Brian Contos, CSO di Sevco Security. Namun, mengingat bahwa mungkin terdapat server-server yang terhubung ke Internet dan perusahaan telah kehilangan jejaknya, ia menyarankan langkah-langkah lebih lanjut mungkin perlu diambil untuk lebih tegas mengunci lingkungan TI.

“Cukup sulit untuk mempertahankan permukaan serangan yang Anda ketahui, namun menjadi tidak mungkin bila ada server rentan yang tidak muncul di inventaris aset TI Anda,” kata Contos. “Setelah patching berhasil dilakukan, tim keamanan harus mengalihkan perhatian mereka ke pendekatan manajemen kerentanan yang lebih berjangka panjang dan berkelanjutan.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover