JetBrains har lappet et kritisk sikkerhetssårbarhet i sin TeamCity On-Premises-server som kan tillate uautentiserte eksterne angripere å få kontroll over en berørt server og bruke den til å utføre ytterligere ondsinnet aktivitet i en organisasjons miljø.
TeamCity er en administrasjonsplattform for programvareutviklingslivssyklus (SDLC) som rundt 30,000 XNUMX organisasjoner – inkludert flere store merker som Citibank, Nike og Ferrari – bruker for å automatisere prosesser for å bygge, teste og distribuere programvare. Som sådan er det hjemmet til en rekke data som kan være nyttige for angripere, inkludert kildekode og signeringssertifikater, og som også kan tillate tukling med kompilerte versjoner av programvare eller distribusjonsprosesser.
Feilen, spores som CVE-2024-23917, presenterer svakheten CWE-288, som er en omgåelse av autentisering ved bruk av en alternativ bane eller kanal. JetBrains identifiserte feilen 19. januar; den påvirker alle versjoner fra 2017.1 til 2023.11.2 av TeamCity On-Premises kontinuerlig integrasjon og levering (CI/CD) server.
"Hvis den misbrukes, kan feilen gjøre det mulig for en uautentisert angriper med HTTP(S)-tilgang til en TeamCity-server å omgå autentiseringskontroller og få administrativ kontroll over den TeamCity-serveren," skrev TeamCitys Daniel Gallo i et blogginnlegg som beskriver CVE-2024-23917, publisert tidligere denne uken.
JetBrains har allerede gitt ut en oppdatering som adresserer sårbarheten, TeamCity On-Premises versjon 2023.11.3, og lappet også sine egne TeamCity Cloud-servere. Selskapet bekreftet også at dets egne servere ikke ble angrepet.
TeamCitys historie om utnyttelse
Faktisk skal man ikke ta lett på TeamCity On-Premises-feil, siden den siste store feilen som ble oppdaget i produktet ansporet til et globalt sikkerhetsmareritt da forskjellige statsstøttede aktører målrettet det for å engasjere seg i en rekke ondsinnet oppførsel.
I så fall spores en offentlig proof-of-concept (PoC) utnyttelse for en kritisk ekstern kodekjøring (RCE) som CVE-2023-42793 – funnet av JetBrains og lappet sist 30. september – utløst nesten umiddelbar utnyttelse av to nordkoreanske statsstøttede trusselgrupper sporet av Microsoft som Diamond Sleet og Onyx Sleet. Gruppene utnyttet feilen å slippe bakdører og andre implantater for å utføre et bredt spekter av ondsinnede aktiviteter, inkludert nettspionasje, datatyveri og økonomisk motiverte angrep.
Så i desember, APT29 (aka CozyBear, the Dukes, Midnight Blizzard, eller Nobelium), den beryktede russisk trusselgruppe bak 2020 SolarWinds hack, også kastet seg over feilen. I aktivitet sporet av blant annet CISA, FBI og NSA, hamret APT på sårbare servere ved å bruke dem for førstegangstilgang for å eskalere privilegier, flytte sideveis, distribuere flere bakdører og ta andre skritt for å sikre vedvarende og langsiktig tilgang til de kompromitterte nettverksmiljøene.
Oppdatering eller alternativ reduksjon anbefales
I håp om å unngå et lignende scenario med den siste feilen, oppfordret JetBrains alle med berørte produkter i miljøet til å umiddelbart oppdatere til den oppdaterte versjonen.
Hvis dette ikke er mulig, har JetBrains også gitt ut en sikkerhetspatch-plugin som er tilgjengelig for nedlasting og kan installeres på TeamCity versjoner 2017.1 til og med 2023.11.2 som vil fikse problemet. Selskapet også lagt ut monteringsanvisning online for plugin for å hjelpe kundene med å dempe problemet.
TeamCity understreket imidlertid at sikkerhetspatch-pluginen bare vil adressere sårbarheten og ikke gi andre rettelser, så kunder anbefales sterkt å installere den nyeste versjonen av TeamCity On-Premises "for å dra nytte av mange andre sikkerhetsoppdateringer," skrev Gallo.
Videre, hvis en organisasjon har en berørt server som er offentlig tilgjengelig over Internett og ikke kan ta noen av disse tiltakene, anbefalte JetBrains at serveren gjøres tilgjengelig inntil feilen kan avhjelpes.
Tatt i betraktning historien til utnyttelse når det kommer til TeamCity-feil, er patching et nødvendig og avgjørende første skritt som organisasjoner må ta for å håndtere problemet, observerer Brian Contos, CSO i Sevco Security. Men gitt at det kan være Internett-vendte servere som et selskap har mistet oversikten over, foreslår han at ytterligere skritt må tas for å låse et IT-miljø mer fast.
"Det er vanskelig nok å forsvare angrepsoverflaten du kjenner til, men det blir umulig når det er sårbare servere som ikke vises på IT-aktivabeholdningen din," sier Contos. "Når oppdateringen er tatt hånd om, må sikkerhetsteam rette oppmerksomheten mot en langsiktig, mer bærekraftig tilnærming til sårbarhetshåndtering."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover
- : har
- :er
- :ikke
- $OPP
- 000
- 1
- 11
- 19
- 2017
- 2020
- 2023
- 30
- 7
- a
- Om oss
- adgang
- tilgjengelig
- Aktiviteter
- aktivitet
- aktører
- Ytterligere
- adresse
- adresser
- administrativ
- påvirkes
- aka
- Alle
- tillate
- tillater
- allerede
- også
- alternativ
- blant
- an
- og
- noen
- tilnærming
- APT
- ER
- AS
- eiendel
- At
- angripe
- angriper
- Angrep
- oppmerksomhet
- Autentisering
- automatisere
- tilgjengelig
- unngå
- Bakdører
- BE
- blir
- atferd
- bak
- nytte
- Blogg
- merker
- Brian
- Bug
- bugs
- bygge
- men
- by
- bypass
- CAN
- hvilken
- bærer
- saken
- sertifikater
- Kanal
- Sjekker
- Citibank
- Cloud
- kode
- kommer
- Selskapet
- kompilert
- kompromittert
- kontinuerlig
- kontroll
- kunne
- kritisk
- avgjørende
- Kunder
- cyber
- Daniel
- dato
- Desember
- levering
- utplassere
- distribusjon
- detaljering
- Utvikling
- Diamant
- oppdaget
- Don
- ned
- nedlasting
- Drop
- Tidligere
- enten
- muliggjøre
- engasjere
- nok
- sikre
- Miljø
- miljøer
- eskalere
- spionasje
- gjennomføring
- Exploit
- utnytting
- FBI
- Ferrari
- økonomisk
- fast
- Først
- Fix
- reparasjoner
- feil
- feil
- Til
- funnet
- fra
- videre
- Gevinst
- gitt
- Global
- Gruppens
- hack
- hamret
- håndtere
- Hard
- he
- hjelpe
- svært
- historie
- Hjemprodukt
- Men
- HTML
- HTTPS
- identifisert
- if
- umiddelbar
- umiddelbart
- umulig
- in
- Inkludert
- innledende
- installere
- installasjon
- installerte
- integrering
- Internet
- inventar
- er n
- utstedelse
- IT
- DET ER
- jan
- jpg
- Vet
- Koreansk
- Siste
- siste
- Livssyklus
- lett
- i likhet med
- låse
- langsiktig
- tapte
- laget
- større
- skadelig
- ledelse
- mange
- Kan..
- Microsoft
- Minske
- skadebegrensning
- mer
- motivert
- flytte
- må
- Nær
- nødvendig
- Trenger
- nettverk
- NIKE
- nst
- nord
- notorisk
- nå
- NSA
- Observerer
- of
- on
- gang
- på nett
- bare
- Onyks
- or
- organisasjon
- organisasjoner
- Annen
- andre
- ut
- enn
- egen
- patch
- patching
- banen
- Utfør
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- plugg inn
- PoC
- mulig
- Post
- gaver
- privilegier
- Prosesser
- Produkt
- Produkter
- gi
- offentlig
- offentlig
- publisert
- område
- anbefales
- utgitt
- fjernkontroll
- s
- sier
- scenario
- sikkerhet
- sikkerhetsoppdatering
- sikkerhetsproblem
- sju
- server
- Servere
- flere
- Vis
- signering
- lignende
- So
- Software
- programvareutvikling
- Solarwinds
- kilde
- kildekoden
- Sponset
- Trinn
- Steps
- slik
- foreslår
- overflaten
- bærekraftig
- Ta
- tatt
- målrettet
- lag
- test
- Det
- De
- tyveri
- deres
- Dem
- Der.
- denne
- denne uka
- De
- trussel
- Gjennom
- til
- spor
- utløst
- SVING
- to
- til
- Oppdater
- oppdateringer
- oppfordret
- bruke
- nyttig
- ved hjelp av
- ulike
- verifisert
- versjon
- versjoner
- sårbarhet
- Sårbar
- svakhet
- uke
- var
- når
- hvilken
- bred
- Bred rekkevidde
- vil
- med
- innenfor
- skrev
- Du
- Din
- zephyrnet
