Исправьте сейчас: критическая ошибка TeamCity позволяет захватывать серверы

Компания JetBrains исправила критическую уязвимость безопасности на своем локальном сервере TeamCity, которая может позволить неаутентифицированным удаленным злоумышленникам получить контроль над затронутым сервером и использовать его для выполнения дальнейших вредоносных действий в среде организации.

TeamCity — это платформа управления жизненным циклом разработки программного обеспечения (SDLC), которую около 30,000 XNUMX организаций, включая несколько крупных брендов, таких как Citibank, Nike и Ferrari, используют для автоматизации процессов создания, тестирования и развертывания программного обеспечения. Таким образом, здесь хранится множество данных, которые могут быть полезны злоумышленникам, включая исходный код и сертификаты подписи, а также могут позволить подделать скомпилированные версии программного обеспечения или процессы развертывания.

Недостаток, отслеживаемый как CVE-2024-23917, представляет слабость КВО-288, который представляет собой обход аутентификации с использованием альтернативного пути или канала. JetBrains обнаружила уязвимость 19 января; оно влияет на все версии сервера непрерывной интеграции и доставки (CI/CD) TeamCity On-Premises с 2017.1 по 2023.11.2.

«При злоупотреблении этой уязвимостью злоумышленник, не прошедший проверку подлинности и имеющий доступ по протоколу HTTP(S) к серверу TeamCity, может обойти проверки аутентификации и получить административный контроль над этим сервером TeamCity», — написал Дэниел Галло из TeamCity. в сообщении блога с подробным описанием CVE-2024-23917, опубликовано ранее на этой неделе.

JetBrains уже выпустила обновление, устраняющее уязвимость TeamCity On-Premises. версия 2023.11.3, а также пропатчила собственные серверы TeamCity Cloud. Компания также подтвердила, что ее собственные серверы не подвергались атакам.

История использования TeamCity

Действительно, к недостаткам TeamCity On-Premises нельзя относиться легкомысленно, поскольку последняя крупная ошибка, обнаруженная в продукте, спровоцировала глобальный кошмар безопасности, когда различные спонсируемые государством субъекты нацелились на него, чтобы совершить целый ряд вредоносных действий.

В этом случае публичный эксплойт для проверки концепции (PoC) критической ошибки удаленного выполнения кода (RCE), отслеживаемый как CVE-2023-42793 — найдено JetBrains и исправлено 30 сентября прошлого года — спровоцировало практически немедленную эксплуатацию двумя поддерживаемыми государством северокорейскими группами угроз, отслеживаемыми Microsoft как Diamond Sleet и Onyx Sleet. Группы воспользовался недостатком отказаться от бэкдоров и других имплантатов для осуществления широкого спектра вредоносных действий, включая кибершпионаж, кражу данных и финансово мотивированные атаки.

Затем, в декабре, APT29 (также известный как CozyBear, Dukes, Полуночная метель, или Нобелий), пресловутый Российская группа угроз за взломом SolarWinds в 2020 году, а также набросился на недостаток. В ходе деятельности, которую отслеживали CISA, ФБР и АНБ, среди прочих, APT атаковала уязвимые серверы, используя их для первоначального доступа для повышения привилегий, горизонтального перемещения, развертывания дополнительных бэкдоров и принятия других мер для обеспечения постоянного и долгосрочного доступа. в скомпрометированную сетевую среду.

Рекомендуется обновление или альтернативное смягчение последствий.

Надеясь избежать аналогичного сценария с последней уязвимостью, JetBrains призвала всех, у кого есть затронутые продукты, немедленно обновиться до исправленной версии.

Если это невозможно, JetBrains также выпустила плагин исправления безопасности, который доступен для загрузки и может быть установлен в версиях TeamCity с 2017.1 по 2023.11.2, который устранит проблему. Компания также выложил инструкцию по установке онлайн для плагина, который поможет клиентам решить проблему.

TeamCity, однако, подчеркнула, что плагин исправления безопасности будет только устранять уязвимость и не предоставлять других исправлений, поэтому клиентам настоятельно рекомендуется установить последнюю версию TeamCity On-Premises, «чтобы воспользоваться многими другими обновлениями безопасности», — написал Галло.

Кроме того, если у организации есть затронутый сервер, который общедоступен через Интернет и не может предпринять ни одного из этих шагов по устранению последствий, JetBrains рекомендовала сделать сервер доступным до тех пор, пока уязвимость не будет устранена.

Учитывая историю эксплуатации ошибок TeamCity, исправление является необходимым и важным первым шагом, который организации должны предпринять для решения проблемы, отмечает Брайан Контос, директор по безопасности Sevco Security. Однако, учитывая, что могут существовать серверы с выходом в Интернет, которые компания потеряла из виду, он предполагает, что, возможно, необходимо предпринять дальнейшие шаги для более жесткой блокировки ИТ-среды.

«Защитить поверхность атаки, о которой вы знаете, достаточно сложно, но это становится невозможным, когда есть уязвимые серверы, которые не отображаются в вашей инвентаризации ИТ-активов», — говорит Контос. «После того, как исправления будут установлены, команды безопасности должны обратить свое внимание на долгосрочный и более устойчивый подход к управлению уязвимостями».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover