Łatka teraz: krytyczny błąd TeamCity umożliwia przejmowanie serwerów

JetBrains załatało krytyczną lukę w zabezpieczeniach swojego serwera TeamCity On-Premises, która może umożliwić nieuwierzytelnionym zdalnym atakującym przejęcie kontroli nad serwerem, którego dotyczy problem, i wykorzystanie go do dalszych złośliwych działań w środowisku organizacji.

TeamCity to platforma do zarządzania cyklem życia oprogramowania (SDLC), z której korzysta około 30,000 XNUMX organizacji — w tym kilka głównych marek, takich jak Citibank, Nike i Ferrari — do automatyzacji procesów tworzenia, testowania i wdrażania oprogramowania. W związku z tym zawiera wiele danych, które mogą być przydatne dla atakujących, w tym kod źródłowy i podpisywanie certyfikatów, a także mogą umożliwiać manipulowanie skompilowanymi wersjami oprogramowania lub procesami wdrażania.

Wada, śledzona jako CVE-2024-23917, przedstawia słabość CWE-288, czyli obejście uwierzytelniania przy użyciu alternatywnej ścieżki lub kanału. JetBrains zidentyfikował usterkę 19 stycznia; dotyczy to wszystkich wersji od 2017.1 do 2023.11.2 serwera ciągłej integracji i dostarczania (CI/CD) TeamCity On-Premises.

„W przypadku nadużycia luka może umożliwić nieuwierzytelnionemu atakującemu z dostępem HTTP(S) do serwera TeamCity ominięcie kontroli uwierzytelniania i uzyskanie kontroli administracyjnej nad tym serwerem TeamCity” – napisał Daniel Gallo z TeamCity w poście na blogu szczegółowo opisującym CVE-2024-23917, opublikowane na początku tego tygodnia.

JetBrains wydał już aktualizację usuwającą lukę TeamCity On-Premises wersja 2023.11.3, a także załatał własne serwery TeamCity Cloud. Firma sprawdziła również, że jej własne serwery nie zostały zaatakowane.

Historia eksploatacji TeamCity

Rzeczywiście, wad TeamCity On-Premises nie należy lekceważyć, ponieważ ostatnia poważna wada wykryta w produkcie wywołała koszmar globalnego bezpieczeństwa, gdy różne sponsorowane przez państwo podmioty obrały za cel ten produkt, aby zaangażować się w szereg złośliwych zachowań.

W takim przypadku exploit publicznego sprawdzenia koncepcji (PoC) dotyczący krytycznego błędu zdalnego wykonania kodu (RCE) śledzonego jako CVE-2023-42793 — znaleziony przez JetBrains i załatany 30 września ubiegłego roku — wywołany niemal natychmiastowym wykorzystaniem przez dwie wspierane przez państwo północnokoreańskie grupy zagrożeń, śledzone przez firmę Microsoft jako Diamond Sleet i Onyx Sleet. Grupy wykorzystał tę wadę do upuszczania backdoorów i innych implantów w celu przeprowadzania szerokiego zakresu złośliwych działań, w tym cyberszpiegostwa, kradzieży danych i ataków motywowanych finansowo.

Następnie w grudniu APT29 (aka CozyBear, the Dukes, Zamieć o północylub Nobelium), osławionego Rosyjska grupa zagrożenia również za hackiem SolarWinds 2020 rzucił się na wadę. W ramach działań śledzonych między innymi przez CISA, FBI i NSA, APT włamał się do podatnych na ataki serwerów, wykorzystując je do początkowego dostępu w celu eskalacji uprawnień, przemieszczania się w bok, wdrażania dodatkowych backdoorów i podejmowania innych kroków w celu zapewnienia trwałego i długoterminowego dostępu do zagrożonych środowisk sieciowych.

Zalecana aktualizacja lub alternatywne rozwiązanie łagodzące

Mając nadzieję na uniknięcie podobnego scenariusza w przypadku najnowszej wady, firma JetBrains nalegała, aby każdy, kto ma w swoim środowisku produkty, których dotyczy ten problem, natychmiast zaktualizował się do poprawionej wersji.

Jeśli nie jest to możliwe, JetBrains udostępniło również wtyczkę poprawki bezpieczeństwa, którą można pobrać i którą można zainstalować w wersjach TeamCity od 2017.1 do 2023.11.2, która rozwiąże problem. Firma również przesłane instrukcje instalacji online, aby uzyskać wtyczkę, która pomoże klientom złagodzić problem.

TeamCity podkreśliło jednak, że wtyczka łatki zabezpieczeń usunie jedynie lukę i nie zapewni innych poprawek, dlatego zdecydowanie zaleca się klientom zainstalowanie najnowszej wersji TeamCity On-Premises, „aby skorzystać z wielu innych aktualizacji zabezpieczeń” – napisał Gallo.

Co więcej, jeśli organizacja posiada serwer, którego dotyczy problem, który jest publicznie dostępny przez Internet i nie może podjąć żadnego z tych kroków zaradczych, JetBrains zaleca udostępnienie serwera do czasu usunięcia wady.

Biorąc pod uwagę historię wykorzystywania błędów w TeamCity, łatanie jest koniecznym i kluczowym pierwszym krokiem, jaki organizacje muszą podjąć, aby uporać się z problemem, zauważa Brian Contos, CSO w Sevco Security. Biorąc jednak pod uwagę, że mogą istnieć serwery połączone z Internetem, o których firma zapomniała, sugeruje, że konieczne może być podjęcie dalszych kroków w celu mocniejszego zablokowania środowiska IT.

„Wystarczająco trudno jest obronić powierzchnię ataku, o której wiesz, ale staje się to niemożliwe, gdy istnieją podatne na ataki serwery, które nie są widoczne w spisie zasobów IT” – mówi Contos. „Po zajęciu się łataniem zespoły ds. bezpieczeństwa muszą skupić się na długoterminowym, bardziej zrównoważonym podejściu do zarządzania lukami w zabezpieczeniach”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover