Patch-uri acum: bug-ul critic TeamCity permite preluarea serverelor

JetBrains a corectat o vulnerabilitate critică de securitate în serverul său TeamCity On-Premises, care poate permite atacatorilor de la distanță neautentificați să obțină controlul asupra unui server afectat și să-l folosească pentru a efectua activități rău intenționate în mediul unei organizații.

TeamCity este o platformă de gestionare a ciclului de viață al dezvoltării software (SDLC) pe care aproximativ 30,000 de organizații, inclusiv câteva mărci importante precum Citibank, Nike și Ferrari, o folosesc pentru a automatiza procesele de construire, testare și implementare a software-ului. Ca atare, găzduiește zeci de date care pot fi utile atacatorilor, inclusiv codul sursă și certificatele de semnare și, de asemenea, ar putea permite modificarea versiunilor compilate de software sau a proceselor de implementare.

Defectul, urmărit ca CVE-2024-23917, prezintă slăbiciunea CWE-288, care este un bypass de autentificare folosind o cale sau un canal alternativ. JetBrains a identificat defectul pe 19 ianuarie; afectează toate versiunile din 2017.1 până la 2023.11.2 ale serverului său de integrare și livrare continuă TeamCity On-Premises (CI/CD).

„Dacă este abuzată, defectul poate permite unui atacator neautentificat cu acces HTTP(S) la un server TeamCity să ocolească verificările de autentificare și să obțină controlul administrativ asupra acelui server TeamCity”, a scris Daniel Gallo de la TeamCity. într-o postare de blog care detaliază CVE-2024-23917, publicat la începutul acestei săptămâni.

JetBrains a lansat deja o actualizare care abordează vulnerabilitatea, TeamCity On-Premises Versiunea 2023.11.3și și-a corectat propriile servere TeamCity Cloud. De asemenea, compania a verificat că propriile servere nu au fost atacate.

Istoria exploatării TeamCity

Într-adevăr, defectele TeamCity On-Premises nu trebuie luate cu ușurință, deoarece ultima defecțiune majoră descoperită în produs a provocat un coșmar de securitate globală atunci când diverși actori sponsorizați de stat l-au vizat pentru a se implica într-o serie de comportamente rău intenționate.

În acest caz, o exploatare public proof-of-concept (PoC) pentru o eroare critică de execuție de cod la distanță (RCE) urmărită ca CVE-2023-42793 — găsit de JetBrains și corectat pe 30 septembrie trecut — declanșat aproape imediat de exploatare de către două grupuri de amenințări susținute de stat nord-coreean, urmărite de Microsoft ca Diamond Sleet și Onyx Sleet. Grupurile a exploatat defectul să renunțe la ușile din spate și alte implanturi pentru a desfășura o gamă largă de activități rău intenționate, inclusiv spionaj cibernetic, furt de date și atacuri motivate financiar.

Apoi, în decembrie, APT29 (alias CozyBear, Dukes, Viscol de la miezul nopții, sau Nobelium), cel notoriu grup de amenințare rus în spatele hack-ului SolarWinds din 2020, de asemenea s-a aruncat asupra defectului. În activitatea urmărită de CISA, FBI și NSA, printre altele, APT a lovit servere vulnerabile, utilizându-le pentru accesul inițial pentru a escalada privilegiile, a se deplasa lateral, a implementa uși din spate suplimentare și a lua alți pași pentru a asigura accesul persistent și pe termen lung. la mediile de rețea compromise.

Actualizare sau atenuare alternativă recomandată

În speranța de a evita un scenariu similar cu cel mai recent defect al său, JetBrains a îndemnat pe oricine cu produse afectate în mediul lor să actualizeze imediat versiunea corectată.

Dacă acest lucru nu este posibil, JetBrains a lansat și un plugin de corecție de securitate care este disponibil pentru descărcare și poate fi instalat pe versiunile TeamCity 2017.1 până la 2023.11.2, care va rezolva problema. Compania de asemenea instrucțiuni de instalare postate online pentru plugin pentru a ajuta clienții să atenueze problema.

TeamCity a subliniat totuși că pluginul pentru corecția de securitate va aborda doar vulnerabilitatea și nu va oferi alte remedieri, așa că clienților li se recomandă să instaleze cea mai recentă versiune a TeamCity On-Premises „pentru a beneficia de multe alte actualizări de securitate”, a scris Gallo.

În plus, dacă o organizație are un server afectat care este accesibil public prin Internet și nu poate lua niciunul dintre acești pași de atenuare, JetBrains a recomandat ca serverul să fie accesibil până când defectul poate fi atenuat.

Având în vedere istoricul exploatării atunci când vine vorba de erorile TeamCity, corecția este un prim pas necesar și crucial pe care organizațiile trebuie să-l facă pentru a gestiona problema, observă Brian Contos, CSO la Sevco Security. Cu toate acestea, având în vedere că ar putea exista servere care se confruntă cu Internet, despre care o companie și-a pierdut urma, el sugerează că ar putea fi necesari pași suplimentari pentru a bloca mai ferm un mediu IT.

„Este destul de greu să aperi suprafața de atac despre care știi, dar devine imposibil atunci când există servere vulnerabile care nu apar în inventarul tău de active IT”, spune Contos. „Odată ce patch-ul este îngrijit, echipele de securitate trebuie să-și îndrepte atenția către o abordare pe termen lung și mai durabilă a gestionării vulnerabilităților.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover