תיקון עכשיו: באג קריטי של TeamCity מאפשר השתלטות על שרתים

JetBrains תיקנה פגיעות אבטחה קריטית בשרת TeamCity On-Premises שלה שיכולה לאפשר לתוקפים מרוחקים לא מאומתים להשיג שליטה על שרת מושפע ולהשתמש בו כדי לבצע פעילות זדונית נוספת בסביבת הארגון.

TeamCity היא פלטפורמת ניהול מחזור חיים לפיתוח תוכנה (SDLC) שבה משתמשים כ-30,000 ארגונים - כולל מספר מותגים גדולים כמו Citibank, Nike ופרארי - כדי להפוך תהליכים לאוטומטיים לבנייה, בדיקה ופריסה של תוכנה. ככזה, זהו בית למספר רב של נתונים שיכולים להיות שימושיים לתוקפים, כולל קוד מקור ואישורי חתימה, וגם יכולים לאפשר התעסקות בתוכנת גרסאות הידור או תהליכי פריסה.

הפגם, במעקב כמו CVE-2024-23917, מציג את החולשה CWE-288, שהוא מעקף אימות באמצעות נתיב או ערוץ חלופי. JetBrains זיהה את הפגם ב-19 בינואר; זה משפיע על כל הגרסאות מ-2017.1 עד 2023.11.2 של שרת האינטגרציה והאספקה ​​המתמשכת של TeamCity On-Premises (CI/CD).

"אם ינוצל לרעה, הפגם עלול לאפשר לתוקף לא מאומת עם גישת HTTP(S) לשרת TeamCity לעקוף בדיקות אימות ולקבל שליטה ניהולית על אותו שרת TeamCity", כתב דניאל גאלו מ-TeamCity בפוסט בבלוג המפרט את CVE-2024-23917, פורסם בתחילת השבוע.

JetBrains כבר פרסמה עדכון שמתייחס לפגיעות, TeamCity On-Premises גרסה 2023.11.3, וגם תיקן שרתי TeamCity Cloud משלה. החברה גם אימתה שהשרתים שלה לא הותקפו.

היסטוריית הניצול של TeamCity

ואכן, אין להקל ראש בפגמים ב-TeamCity On-Premises, שכן הפגם הגדול האחרון שהתגלה במוצר עורר סיוט אבטחה עולמי כאשר שחקנים שונים בחסות המדינה כיוונו אותו לעסוק במגוון התנהגות זדונית.

במקרה זה, ניצול פומבי של הוכחת מושג (PoC) עבור באג קריטי של ביצוע קוד מרחוק (RCE) CVE-2023-42793 - נמצא על ידי JetBrains ותוקן ב-30 בספטמבר האחרון - הופעל כמעט ניצול מיידי על ידי שתי קבוצות איומים הנתמכות על ידי צפון קוריאה, שאחריהן עוקבות מיקרוסופט כ-Diamond Sleet ו-Onyx Sleet. הקבוצות ניצל את הפגם להטיל דלתות אחוריות ושתלים אחרים לביצוע מגוון רחב של פעילויות זדוניות, כולל ריגול סייבר, גניבת נתונים והתקפות על רקע כלכלי.

ואז בדצמבר, APT29 (המכונה CozyBear, The Dukes, סופת שלגים של חצות, או נובליום), הידועים לשמצה קבוצת איומים רוסית גם מאחורי הפריצה של SolarWinds לשנת 2020 התנפל על הפגם. בפעילות שעוקבת אחריהם על ידי CISA, ה-FBI וה-NSA, בין היתר, ה-APT פגע בשרתים פגיעים, תוך שימוש בהם לגישה ראשונית כדי להסלים הרשאות, לנוע לרוחב, לפרוס דלתות אחוריות נוספות ולנקוט בצעדים אחרים כדי להבטיח גישה מתמשכת וארוכת טווח לסביבות הרשת שנפגעו.

מומלץ לעדכן או להקלה חלופית

בתקווה להימנע מתרחיש דומה עם הפגם האחרון שלו, JetBrains קראה לכל מי שיש לו מוצרים מושפעים בסביבתו לעדכן מיד לגרסה המתוקנת.

אם זה לא אפשרי, JetBrains הוציאה גם תוסף תיקון אבטחה שזמין להורדה וניתן להתקין אותו בגרסאות TeamCity 2017.1 עד 2023.11.2 שיתקן את הבעיה. גם החברה פרסמו הוראות התקנה מקוון עבור הפלאגין כדי לעזור ללקוחות להקל על הבעיה.

עם זאת, TeamCity הדגיש כי תוסף תיקון האבטחה יטפל רק בפגיעות ולא יספק תיקונים אחרים, ולכן מומלץ מאוד ללקוחות להתקין את הגרסה העדכנית ביותר של TeamCity On-Premises "כדי ליהנות מעדכוני אבטחה רבים אחרים", כתב גאלו.

יתרה מכך, אם לארגון יש שרת מושפע שנגיש לציבור דרך האינטרנט ואינו יכול לנקוט באף אחד מצעדי ההפחתה הללו, JetBrains המליצה להפוך את השרת לנגיש עד שניתן יהיה לצמצם את הפגם.

בהתחשב בהיסטוריה של ניצול בכל הנוגע לבאגים של TeamCity, תיקון הוא צעד ראשון הכרחי ומכריע שארגונים צריכים לנקוט כדי לטפל בבעיה, מציין בריאן קונטוס, CSO ב- Sevco Security. עם זאת, בהתחשב בעובדה שיכולים להיות שרתים הפונים לאינטרנט שחברה איבדה מעקב אחריהם, הוא מציע שייתכן שיידרשו צעדים נוספים כדי לנעול חזק יותר את סביבת ה-IT.

"זה מספיק קשה להגן על משטח ההתקפה שאתה מכיר, אבל זה הופך לבלתי אפשרי כשיש שרתים פגיעים שלא מופיעים במלאי נכסי ה-IT שלך", אומר קונטו. "לאחר הטיפול בתיקון, צוותי האבטחה חייבים להפנות את תשומת לבם לגישה ארוכת טווח ובת קיימא יותר לניהול פגיעות."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover