Patcha nu: Kritisk TeamCity Bug tillåter serverövertag

JetBrains har korrigerat en kritisk säkerhetssårbarhet i sin TeamCity On-Premises-server som kan tillåta oautentiserade fjärrangripare att få kontroll över en påverkad server och använda den för att utföra ytterligare skadlig aktivitet i en organisations miljö.

TeamCity är en hanteringsplattform för mjukvaruutvecklingslivscykel (SDLC) som cirka 30,000 XNUMX organisationer – inklusive flera stora varumärken som Citibank, Nike och Ferrari – använder för att automatisera processer för att bygga, testa och distribuera programvara. Som sådan är det hem för mängder av data som kan vara användbara för angripare, inklusive källkod och signeringscertifikat, och som också kan möjliggöra manipulering av kompilerade versioner av programvara eller distributionsprocesser.

Felet, spåras som CVE-2024-23917, presenterar svagheten CWE-288, som är en förbikoppling av autentisering som använder en alternativ sökväg eller kanal. JetBrains identifierade felet den 19 januari; det påverkar alla versioner från 2017.1 till 2023.11.2 av dess TeamCity On-Premises kontinuerliga integration och leverans (CI/CD)-server.

"Om det missbrukas kan felet göra det möjligt för en oautentiserad angripare med HTTP(S)-åtkomst till en TeamCity-server att kringgå autentiseringskontroller och få administrativ kontroll över den TeamCity-servern", skrev TeamCitys Daniel Gallo i ett blogginlägg som beskriver CVE-2024-23917, publicerades tidigare i veckan.

JetBrains har redan släppt en uppdatering som åtgärdar sårbarheten, TeamCity On-Premises version 2023.11.3, och även patchade sina egna TeamCity Cloud-servrar. Företaget verifierade också att dess egna servrar inte attackerades.

TeamCitys historia om exploatering

Faktum är att TeamCity On-Premises-brister inte ska tas lätt på, eftersom den sista stora bristen som upptäcktes i produkten sporrade till en global säkerhetsmardröm när olika statligt sponsrade aktörer riktade in sig på den för att engagera sig i en rad skadliga beteenden.

I så fall spåras en public proof-of-concept (PoC)-exploatering för en kritisk fjärrkodexekvering (RCE) som CVE-2023-42793 — hittades av JetBrains och patchades senast 30 september — utlöstes nästan omedelbart av två nordkoreanska statsstödda hotgrupper som spårades av Microsoft som Diamond Sleet och Onyx Sleet. Grupperna utnyttjade felet att släppa bakdörrar och andra implantat för att utföra ett brett utbud av skadliga aktiviteter, inklusive cyberspionage, datastöld och ekonomiskt motiverade attacker.

Sedan i december, APT29 (aka CozyBear, the Dukes, Midnattsstorm, eller Nobelium), den ökända rysk hotgrupp bakom 2020 SolarWinds hack, också kastade sig på felet. I aktivitet som spårades av bland annat CISA, FBI och NSA, hamrade APT på sårbara servrar och använde dem för initial åtkomst för att eskalera privilegier, flytta i sidled, distribuera ytterligare bakdörrar och vidta andra åtgärder för att säkerställa beständig och långsiktig åtkomst till de komprometterade nätverksmiljöerna.

Uppdatering eller alternativ begränsning rekommenderas

I hopp om att undvika ett liknande scenario med sitt senaste fel, uppmanade JetBrains alla med berörda produkter i sin miljö att omedelbart uppdatera till den korrigerade versionen.

Om detta inte är möjligt har JetBrains också släppt en säkerhetspatch-plugin som är tillgänglig för nedladdning och kan installeras på TeamCity-versionerna 2017.1 till 2023.11.2 som kommer att lösa problemet. Företaget också upplagda installationsanvisningar online för plugin för att hjälpa kunder att lindra problemet.

TeamCity betonade dock att plugin-programmet för säkerhetskorrigering endast kommer att åtgärda sårbarheten och inte tillhandahålla andra korrigeringar, så kunderna rekommenderas starkt att installera den senaste versionen av TeamCity On-Premises "för att dra nytta av många andra säkerhetsuppdateringar", skrev Gallo.

Vidare, om en organisation har en påverkad server som är allmänt tillgänglig över Internet och inte kan vidta något av dessa begränsningssteg, rekommenderade JetBrains att servern görs tillgänglig tills felet kan åtgärdas.

Med tanke på exploateringshistoriken när det kommer till TeamCity-buggar är patchning ett nödvändigt och avgörande första steg som organisationer måste ta för att hantera problemet, konstaterar Brian Contos, CSO på Sevco Security. Men med tanke på att det kan finnas internetservrar som ett företag har tappat koll på, föreslår han att ytterligare åtgärder kan behöva vidtas för att säkrare låsa en IT-miljö.

"Det är svårt nog att försvara attackytan du känner till, men det blir omöjligt när det finns sårbara servrar som inte dyker upp på din IT-tillgångsinventering", säger Contos. "När lappningen väl har tagits hand om måste säkerhetsteam rikta sin uppmärksamhet mot ett långsiktigt och mer hållbart tillvägagångssätt för sårbarhetshantering."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover