JetBrains תיקנה פגיעות אבטחה קריטית בשרת TeamCity On-Premises שלה שיכולה לאפשר לתוקפים מרוחקים לא מאומתים להשיג שליטה על שרת מושפע ולהשתמש בו כדי לבצע פעילות זדונית נוספת בסביבת הארגון.
TeamCity היא פלטפורמת ניהול מחזור חיים לפיתוח תוכנה (SDLC) שבה משתמשים כ-30,000 ארגונים - כולל מספר מותגים גדולים כמו Citibank, Nike ופרארי - כדי להפוך תהליכים לאוטומטיים לבנייה, בדיקה ופריסה של תוכנה. ככזה, זהו בית למספר רב של נתונים שיכולים להיות שימושיים לתוקפים, כולל קוד מקור ואישורי חתימה, וגם יכולים לאפשר התעסקות בתוכנת גרסאות הידור או תהליכי פריסה.
הפגם, במעקב כמו CVE-2024-23917, מציג את החולשה CWE-288, שהוא מעקף אימות באמצעות נתיב או ערוץ חלופי. JetBrains זיהה את הפגם ב-19 בינואר; זה משפיע על כל הגרסאות מ-2017.1 עד 2023.11.2 של שרת האינטגרציה והאספקה המתמשכת של TeamCity On-Premises (CI/CD).
"אם ינוצל לרעה, הפגם עלול לאפשר לתוקף לא מאומת עם גישת HTTP(S) לשרת TeamCity לעקוף בדיקות אימות ולקבל שליטה ניהולית על אותו שרת TeamCity", כתב דניאל גאלו מ-TeamCity בפוסט בבלוג המפרט את CVE-2024-23917, פורסם בתחילת השבוע.
JetBrains כבר פרסמה עדכון שמתייחס לפגיעות, TeamCity On-Premises גרסה 2023.11.3, וגם תיקן שרתי TeamCity Cloud משלה. החברה גם אימתה שהשרתים שלה לא הותקפו.
היסטוריית הניצול של TeamCity
ואכן, אין להקל ראש בפגמים ב-TeamCity On-Premises, שכן הפגם הגדול האחרון שהתגלה במוצר עורר סיוט אבטחה עולמי כאשר שחקנים שונים בחסות המדינה כיוונו אותו לעסוק במגוון התנהגות זדונית.
במקרה זה, ניצול פומבי של הוכחת מושג (PoC) עבור באג קריטי של ביצוע קוד מרחוק (RCE) CVE-2023-42793 - נמצא על ידי JetBrains ותוקן ב-30 בספטמבר האחרון - הופעל כמעט ניצול מיידי על ידי שתי קבוצות איומים הנתמכות על ידי צפון קוריאה, שאחריהן עוקבות מיקרוסופט כ-Diamond Sleet ו-Onyx Sleet. הקבוצות ניצל את הפגם להטיל דלתות אחוריות ושתלים אחרים לביצוע מגוון רחב של פעילויות זדוניות, כולל ריגול סייבר, גניבת נתונים והתקפות על רקע כלכלי.
ואז בדצמבר, APT29 (המכונה CozyBear, The Dukes, סופת שלגים של חצות, או נובליום), הידועים לשמצה קבוצת איומים רוסית גם מאחורי הפריצה של SolarWinds לשנת 2020 התנפל על הפגם. בפעילות שעוקבת אחריהם על ידי CISA, ה-FBI וה-NSA, בין היתר, ה-APT פגע בשרתים פגיעים, תוך שימוש בהם לגישה ראשונית כדי להסלים הרשאות, לנוע לרוחב, לפרוס דלתות אחוריות נוספות ולנקוט בצעדים אחרים כדי להבטיח גישה מתמשכת וארוכת טווח לסביבות הרשת שנפגעו.
מומלץ לעדכן או להקלה חלופית
בתקווה להימנע מתרחיש דומה עם הפגם האחרון שלו, JetBrains קראה לכל מי שיש לו מוצרים מושפעים בסביבתו לעדכן מיד לגרסה המתוקנת.
אם זה לא אפשרי, JetBrains הוציאה גם תוסף תיקון אבטחה שזמין להורדה וניתן להתקין אותו בגרסאות TeamCity 2017.1 עד 2023.11.2 שיתקן את הבעיה. גם החברה פרסמו הוראות התקנה מקוון עבור הפלאגין כדי לעזור ללקוחות להקל על הבעיה.
עם זאת, TeamCity הדגיש כי תוסף תיקון האבטחה יטפל רק בפגיעות ולא יספק תיקונים אחרים, ולכן מומלץ מאוד ללקוחות להתקין את הגרסה העדכנית ביותר של TeamCity On-Premises "כדי ליהנות מעדכוני אבטחה רבים אחרים", כתב גאלו.
יתרה מכך, אם לארגון יש שרת מושפע שנגיש לציבור דרך האינטרנט ואינו יכול לנקוט באף אחד מצעדי ההפחתה הללו, JetBrains המליצה להפוך את השרת לנגיש עד שניתן יהיה לצמצם את הפגם.
בהתחשב בהיסטוריה של ניצול בכל הנוגע לבאגים של TeamCity, תיקון הוא צעד ראשון הכרחי ומכריע שארגונים צריכים לנקוט כדי לטפל בבעיה, מציין בריאן קונטוס, CSO ב- Sevco Security. עם זאת, בהתחשב בעובדה שיכולים להיות שרתים הפונים לאינטרנט שחברה איבדה מעקב אחריהם, הוא מציע שייתכן שיידרשו צעדים נוספים כדי לנעול חזק יותר את סביבת ה-IT.
"זה מספיק קשה להגן על משטח ההתקפה שאתה מכיר, אבל זה הופך לבלתי אפשרי כשיש שרתים פגיעים שלא מופיעים במלאי נכסי ה-IT שלך", אומר קונטו. "לאחר הטיפול בתיקון, צוותי האבטחה חייבים להפנות את תשומת לבם לגישה ארוכת טווח ובת קיימא יותר לניהול פגיעות."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 000
- 1
- 11
- 19
- 2017
- 2020
- 2023
- 30
- 7
- a
- אודות
- גישה
- נגיש
- פעילויות
- פעילות
- שחקנים
- נוסף
- כתובת
- כתובות
- מנהלי
- מושפע
- aka
- תעשיות
- להתיר
- מאפשר
- כְּבָר
- גם
- חלופה
- בין
- an
- ו
- כל אחד
- גישה
- APT
- ARE
- AS
- נכס
- At
- לתקוף
- תוקף
- המתקפות
- תשומת לב
- אימות
- אוטומטי
- זמין
- לְהִמָנַע
- דלתות אחוריות
- BE
- הופך להיות
- התנהגות
- מאחור
- תועלת
- בלוג
- מותגים
- בריאן
- חרק
- באגים
- לִבנוֹת
- אבל
- by
- לעקוף
- CAN
- אשר
- נושאת
- מקרה
- תעודות
- ערוץ
- בדיקות
- סיטיבנק
- ענן
- קוד
- מגיע
- חברה
- הידור
- התפשר
- רציף
- לִשְׁלוֹט
- יכול
- קריטי
- מכריע
- לקוחות
- סייבר
- Daniel
- נתונים
- דֵצֶמבֶּר
- מסירה
- לפרוס
- פריסה
- טיפוח לרכב
- צעצועי התפתחות
- יהלומים
- גילה
- דון
- מטה
- להורדה
- ירידה
- מוקדם יותר
- או
- לאפשר
- לעסוק
- מספיק
- לְהַבטִיחַ
- סביבה
- סביבות
- להסלים
- ריגול
- הוצאת להורג
- לנצל
- ניצול
- FBI
- פרארי
- כלכלית
- בתקיפות
- ראשון
- לסדר
- תיקוני
- פגם
- פגמים
- בעד
- מצא
- החל מ-
- נוסף
- לְהַשִׂיג
- נתן
- גלוֹבָּלִי
- קבוצה
- לפרוץ
- פטיש
- לטפל
- קשה
- he
- לעזור
- מאוד
- היסטוריה
- עמוד הבית
- אולם
- HTML
- HTTPS
- מזוהה
- if
- מיידי
- מיד
- בלתי אפשרי
- in
- כולל
- בתחילה
- להתקין
- התקנה
- מותקן
- השתלבות
- אינטרנט
- מלאי
- J States
- סוגיה
- IT
- שֶׁלָה
- יאן
- jpg
- לדעת
- קוריאני
- אחרון
- האחרון
- מעגל החיים
- בקלילות
- כמו
- לנעול
- לטווח ארוך
- אבוד
- עשוי
- גדול
- זדוני
- ניהול
- רב
- מאי..
- מיקרוסופט
- להקל
- הֲקָלָה
- יותר
- מוטיבציה
- המהלך
- צריך
- ליד
- הכרחי
- צורך
- רשת
- NIKE
- ניסט
- צפון
- יָדוּעַ לְשִׁמצָה
- עַכשָׁיו
- nsa
- מתבונן
- of
- on
- פעם
- באינטרנט
- רק
- שׁוֹהַם
- or
- ארגון
- ארגונים
- אחר
- אחרים
- הַחוּצָה
- יותר
- שֶׁלוֹ
- תיקון
- תיקון
- נתיב
- לְבַצֵעַ
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- חיבור
- PoC
- אפשרי
- הודעה
- מתנות
- הרשאות
- תהליכים
- המוצר
- מוצרים
- לספק
- ציבורי
- בפומבי
- לאור
- רכס
- מוּמלָץ
- שוחרר
- מרחוק
- s
- אומר
- תרחיש
- אבטחה
- תיקון אבטחה
- פגיעות אבטחה
- שבע
- שרת
- שרתים
- כמה
- לְהַצִיג
- חתימה
- דומה
- So
- תוכנה
- פיתוח תוכנה
- השמש
- מָקוֹר
- קוד מקור
- ממומן
- שלב
- צעדים
- כזה
- מציע
- משטח
- בר קיימא
- לקחת
- משימות
- ממוקד
- צוותי
- מבחן
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- שם.
- זֶה
- השבוע
- אלה
- איום
- דרך
- ל
- לעקוב
- מופעל
- תור
- שתיים
- עד
- עדכון
- עדכונים
- דחק
- להשתמש
- מועיל
- באמצעות
- שונים
- מְאוּמָת
- גרסה
- גירסאות
- פגיעות
- פגיע
- חולשה
- שבוע
- היו
- מתי
- אשר
- רָחָב
- טווח רחב
- יצטרך
- עם
- בתוך
- כתב
- אתה
- זפירנט