Nu patchen: kritieke TeamCity-bug maakt serverovernames mogelijk

JetBrains heeft een kritiek beveiligingsprobleem in zijn TeamCity On-Premises-server verholpen, waardoor niet-geverifieerde externe aanvallers controle kunnen krijgen over een getroffen server en deze kunnen gebruiken om verdere kwaadaardige activiteiten uit te voeren binnen de omgeving van een organisatie.

TeamCity is een software development lifecycle (SDLC)-beheerplatform dat ongeveer 30,000 organisaties – waaronder verschillende grote merken als Citibank, Nike en Ferrari – gebruiken om processen voor het bouwen, testen en implementeren van software te automatiseren. Als zodanig is het de thuisbasis van talloze gegevens die nuttig kunnen zijn voor aanvallers, waaronder broncode en handtekeningcertificaten, en die ook de mogelijkheid kunnen bieden om met gecompileerde versies van software of implementatieprocessen te knoeien.

De fout, bijgehouden als CVE-2024-23917, presenteert de zwakte CWE-288, wat een authenticatie-bypass is met behulp van een alternatief pad of kanaal. JetBrains identificeerde de fout op 19 januari; het is van invloed op alle versies van 2017.1 tot en met 2023.11.2 van de TeamCity On-Premises continue integratie- en leveringsserver (CI/CD).

“Bij misbruik kan de fout een niet-geverifieerde aanvaller met HTTP(S)-toegang tot een TeamCity-server in staat stellen authenticatiecontroles te omzeilen en administratieve controle over die TeamCity-server te krijgen”, schreef Daniel Gallo van TeamCity. in een blogpost waarin CVE-2024-23917 wordt beschreven, eerder deze week gepubliceerd.

JetBrains heeft al een update uitgebracht die de kwetsbaarheid verhelpt, TeamCity On-Premises versie 2023.11.3, en heeft ook zijn eigen TeamCity Cloud-servers gepatcht. Het bedrijf heeft ook geverifieerd dat zijn eigen servers niet zijn aangevallen.

TeamCity's geschiedenis van uitbuiting

De tekortkomingen van TeamCity On-Premises moeten niet lichtvaardig worden opgevat, aangezien de laatste grote fout die in het product werd ontdekt de aanleiding vormde voor een mondiale veiligheidsnachtmerrie toen verschillende door de staat gesponsorde actoren het aanvielen en zich schuldig maakten aan een reeks kwaadaardig gedrag.

In dat geval wordt een openbare proof-of-concept (PoC)-exploit voor een kritieke fout in de uitvoering van externe code (RCE) bijgehouden als CVE-2023-42793 – gevonden door JetBrains en op 30 september gepatcht – veroorzaakt door vrijwel onmiddellijke uitbuiting door twee door de Noord-Koreaanse staat gesteunde dreigingsgroepen die door Microsoft worden gevolgd als Diamond Sleet en Onyx Sleet. De groepen misbruik gemaakt van de fout om achterdeurtjes en andere implantaten te laten vallen voor het uitvoeren van een breed scala aan kwaadaardige activiteiten, waaronder cyberspionage, gegevensdiefstal en financieel gemotiveerde aanvallen.

Toen in december APT29 (ook bekend als CozyBear, the Dukes, Middernacht sneeuwstorm, of Nobelium), de beruchte Russische dreigingsgroep ook achter de SolarWinds-hack van 2020 viel op de fout. Tijdens activiteiten die onder meer door CISA, de FBI en de NSA werden gevolgd, heeft de APT kwetsbare servers gehamerd en deze gebruikt voor initiële toegang om privileges te escaleren, lateraal te bewegen, extra achterdeurtjes in te zetten en andere stappen te ondernemen om blijvende en langdurige toegang te garanderen. aan de gecompromitteerde netwerkomgevingen.

Update of alternatieve beperking aanbevolen

In de hoop een soortgelijk scenario met de nieuwste fout te voorkomen, drong JetBrains er bij iedereen met getroffen producten in hun omgeving op aan om onmiddellijk te updaten naar de gepatchte versie.

Als dit niet mogelijk is, heeft JetBrains ook een beveiligingspatch-plug-in uitgebracht die kan worden gedownload en kan worden geïnstalleerd op TeamCity-versies 2017.1 tot en met 2023.11.2 die het probleem zal oplossen. Het bedrijf ook geplaatste installatie-instructies online voor de plug-in om klanten te helpen het probleem op te lossen.

TeamCity benadrukte echter dat de plug-in voor de beveiligingspatch alleen de kwetsbaarheid zal aanpakken en geen andere oplossingen zal bieden. Klanten wordt daarom ten zeerste aanbevolen om de nieuwste versie van TeamCity On-Premises te installeren “om te profiteren van vele andere beveiligingsupdates”, schreef Gallo.

Verder, als een organisatie een getroffen server heeft die publiekelijk toegankelijk is via internet en geen van deze maatregelen kan nemen, adviseert JetBrains om de server toegankelijk te maken totdat de fout kan worden verholpen.

Gezien de geschiedenis van exploitatie als het gaat om TeamCity-bugs, is patchen een noodzakelijke en cruciale eerste stap die organisaties moeten zetten om het probleem aan te pakken, merkt Brian Contos, CSO bij Sevco Security, op. Maar aangezien er op internet gerichte servers kunnen zijn die een bedrijf uit het oog is verloren, suggereert hij dat er mogelijk verdere stappen moeten worden genomen om een ​​IT-omgeving steviger af te sluiten.

"Het is al moeilijk genoeg om het aanvalsoppervlak dat je kent te verdedigen, maar het wordt onmogelijk als er kwetsbare servers zijn die niet in je inventaris van IT-middelen voorkomen", zegt Contos. “Zodra de patching is afgehandeld, moeten beveiligingsteams hun aandacht richten op een langere termijn, duurzamere aanpak van kwetsbaarheidsbeheer.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover