Компания JetBrains исправила критическую уязвимость безопасности на своем локальном сервере TeamCity, которая может позволить неаутентифицированным удаленным злоумышленникам получить контроль над затронутым сервером и использовать его для выполнения дальнейших вредоносных действий в среде организации.
TeamCity — это платформа управления жизненным циклом разработки программного обеспечения (SDLC), которую около 30,000 XNUMX организаций, включая несколько крупных брендов, таких как Citibank, Nike и Ferrari, используют для автоматизации процессов создания, тестирования и развертывания программного обеспечения. Таким образом, здесь хранится множество данных, которые могут быть полезны злоумышленникам, включая исходный код и сертификаты подписи, а также могут позволить подделать скомпилированные версии программного обеспечения или процессы развертывания.
Недостаток, отслеживаемый как CVE-2024-23917, представляет слабость КВО-288, который представляет собой обход аутентификации с использованием альтернативного пути или канала. JetBrains обнаружила уязвимость 19 января; оно влияет на все версии сервера непрерывной интеграции и доставки (CI/CD) TeamCity On-Premises с 2017.1 по 2023.11.2.
«При злоупотреблении этой уязвимостью злоумышленник, не прошедший проверку подлинности и имеющий доступ по протоколу HTTP(S) к серверу TeamCity, может обойти проверки аутентификации и получить административный контроль над этим сервером TeamCity», — написал Дэниел Галло из TeamCity. в сообщении блога с подробным описанием CVE-2024-23917, опубликовано ранее на этой неделе.
JetBrains уже выпустила обновление, устраняющее уязвимость TeamCity On-Premises. версия 2023.11.3, а также пропатчила собственные серверы TeamCity Cloud. Компания также подтвердила, что ее собственные серверы не подвергались атакам.
История использования TeamCity
Действительно, к недостаткам TeamCity On-Premises нельзя относиться легкомысленно, поскольку последняя крупная ошибка, обнаруженная в продукте, спровоцировала глобальный кошмар безопасности, когда различные спонсируемые государством субъекты нацелились на него, чтобы совершить целый ряд вредоносных действий.
В этом случае публичный эксплойт для проверки концепции (PoC) критической ошибки удаленного выполнения кода (RCE), отслеживаемый как CVE-2023-42793 — найдено JetBrains и исправлено 30 сентября прошлого года — спровоцировало практически немедленную эксплуатацию двумя поддерживаемыми государством северокорейскими группами угроз, отслеживаемыми Microsoft как Diamond Sleet и Onyx Sleet. Группы воспользовался недостатком отказаться от бэкдоров и других имплантатов для осуществления широкого спектра вредоносных действий, включая кибершпионаж, кражу данных и финансово мотивированные атаки.
Затем, в декабре, APT29 (также известный как CozyBear, Dukes, Полуночная метель, или Нобелий), пресловутый Российская группа угроз за взломом SolarWinds в 2020 году, а также набросился на недостаток. В ходе деятельности, которую отслеживали CISA, ФБР и АНБ, среди прочих, APT атаковала уязвимые серверы, используя их для первоначального доступа для повышения привилегий, горизонтального перемещения, развертывания дополнительных бэкдоров и принятия других мер для обеспечения постоянного и долгосрочного доступа. в скомпрометированную сетевую среду.
Рекомендуется обновление или альтернативное смягчение последствий.
Надеясь избежать аналогичного сценария с последней уязвимостью, JetBrains призвала всех, у кого есть затронутые продукты, немедленно обновиться до исправленной версии.
Если это невозможно, JetBrains также выпустила плагин исправления безопасности, который доступен для загрузки и может быть установлен в версиях TeamCity с 2017.1 по 2023.11.2, который устранит проблему. Компания также выложил инструкцию по установке онлайн для плагина, который поможет клиентам решить проблему.
TeamCity, однако, подчеркнула, что плагин исправления безопасности будет только устранять уязвимость и не предоставлять других исправлений, поэтому клиентам настоятельно рекомендуется установить последнюю версию TeamCity On-Premises, «чтобы воспользоваться многими другими обновлениями безопасности», — написал Галло.
Кроме того, если у организации есть затронутый сервер, который общедоступен через Интернет и не может предпринять ни одного из этих шагов по устранению последствий, JetBrains рекомендовала сделать сервер доступным до тех пор, пока уязвимость не будет устранена.
Учитывая историю эксплуатации ошибок TeamCity, исправление является необходимым и важным первым шагом, который организации должны предпринять для решения проблемы, отмечает Брайан Контос, директор по безопасности Sevco Security. Однако, учитывая, что могут существовать серверы с выходом в Интернет, которые компания потеряла из виду, он предполагает, что, возможно, необходимо предпринять дальнейшие шаги для более жесткой блокировки ИТ-среды.
«Защитить поверхность атаки, о которой вы знаете, достаточно сложно, но это становится невозможным, когда есть уязвимые серверы, которые не отображаются в вашей инвентаризации ИТ-активов», — говорит Контос. «После того, как исправления будут установлены, команды безопасности должны обратить свое внимание на долгосрочный и более устойчивый подход к управлению уязвимостями».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover
- :имеет
- :является
- :нет
- $UP
- 000
- 1
- 11
- 19
- 2017
- 2020
- 2023
- 30
- 7
- a
- О нас
- доступ
- доступной
- активно
- деятельность
- актеры
- дополнительный
- адрес
- адреса
- административный
- пострадавших
- ака
- Все
- позволять
- позволяет
- уже
- причислены
- альтернатива
- среди
- an
- и
- кто угодно
- подхода
- APT
- МЫ
- AS
- активы
- At
- атаковать
- нападающий
- нападки
- внимание
- Аутентификация
- автоматизировать
- доступен
- избежать
- Черные ходы
- BE
- становится
- поведение
- за
- польза
- Блог
- брендов
- Брайан
- Ошибка
- ошибки
- строить
- но
- by
- байпас
- CAN
- заботится
- проведение
- случаев
- сертификаты
- Канал
- Проверки
- Citibank
- облако
- код
- выходит
- Компания
- скомпилированный
- Ослабленный
- (CIJ)
- контроль
- может
- критической
- решающее значение
- Клиенты
- кибер-
- Дэниел
- данным
- Декабрь
- поставка
- развертывание
- развертывание
- Детализация
- Развитие
- Diamond
- открытый
- Дон
- вниз
- скачать
- Падение
- Ранее
- или
- включить
- заниматься
- достаточно
- обеспечивать
- Окружающая среда
- средах
- обострять
- шпионаж
- выполнение
- Эксплуатировать
- эксплуатация
- ФБР
- Ferrari
- в финансовом отношении
- твердо
- First
- фиксированный
- исправления
- недостаток
- недостатки
- Что касается
- найденный
- от
- далее
- Gain
- данный
- Глобальный
- Группы
- мотыга
- чеканный
- обрабатывать
- Жесткий
- he
- помощь
- очень
- история
- Главная
- Однако
- HTML
- HTTPS
- идентифицированный
- if
- немедленная
- немедленно
- что она
- in
- В том числе
- начальный
- устанавливать
- установка
- установлен
- интеграции.
- Интернет
- инвентаризация
- мобильной
- вопрос
- IT
- ЕГО
- Января
- JPG
- Знать
- Корейский
- Фамилия
- последний
- Жизненный цикл
- слегка
- такое как
- Блокировка
- долгосрочный
- потерянный
- сделанный
- основной
- злонамеренный
- управление
- многих
- Май..
- Microsoft
- смягчать
- смягчение
- БОЛЕЕ
- мотивированные
- двигаться
- должен
- Возле
- необходимо
- Необходимость
- сеть
- NIKE
- NIST
- север
- печально известный
- сейчас
- АНБ
- Соблюдает
- of
- on
- консолидировать
- онлайн
- только
- Оникс
- or
- организация
- организации
- Другое
- Другое
- внешний
- за
- собственный
- Патчи
- Заделка
- путь
- Выполнять
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- плагин
- PoC
- возможное
- После
- разрабатывает
- привилегии
- Процессы
- Продукт
- Продукция
- обеспечивать
- что такое варган?
- публично
- опубликованный
- ассортимент
- Управление по борьбе с наркотиками (DEA)
- выпустил
- удаленные
- s
- говорит
- сценарий
- безопасность
- патч безопасности
- уязвимость безопасности
- Семь
- сервер
- Серверы
- несколько
- показывать
- подписание
- аналогичный
- So
- Software
- разработка программного обеспечения
- SolarWinds
- Источник
- исходный код
- Спонсоров
- Шаг
- Шаги
- такие
- Предлагает
- Поверхность
- комфортного
- взять
- приняты
- целевое
- команды
- тестXNUMX
- который
- Ассоциация
- кража
- их
- Их
- Там.
- этой
- На этой неделе
- те
- угроза
- Через
- в
- трек
- срабатывает
- ОЧЕРЕДЬ
- два
- до
- Обновление ПО
- Updates
- настоятельно
- использование
- полезный
- через
- различный
- проверено
- версия
- версии
- уязвимость
- Уязвимый
- слабость
- неделя
- были
- когда
- который
- широкий
- Широкий диапазон
- будете
- в
- писал
- Ты
- ВАШЕ
- зефирнет