ابھی پیچ کریں: کریٹیکل ٹیم سٹی بگ سرور ٹیک اوور کی اجازت دیتا ہے۔

JetBrains نے اپنے TeamCity On-Primises سرور میں ایک اہم حفاظتی خطرے کو حل کیا ہے جو غیر تصدیق شدہ ریموٹ حملہ آوروں کو متاثرہ سرور پر کنٹرول حاصل کرنے اور تنظیم کے ماحول میں مزید نقصان دہ سرگرمی انجام دینے کے لیے استعمال کرنے کی اجازت دے سکتا ہے۔

TeamCity ایک سافٹ ویئر ڈویلپمنٹ لائف سائیکل (SDLC) مینجمنٹ پلیٹ فارم ہے جسے تقریباً 30,000 تنظیمیں — بشمول Citibank, Nike, اور Ferrari — سافٹ ویئر بنانے، جانچنے اور ان کی تعیناتی کے لیے عمل کو خودکار بنانے کے لیے استعمال کرتی ہیں۔ اس طرح، یہ ڈیٹا کے اسکور کا گھر ہے جو حملہ آوروں کے لیے مفید ہو سکتا ہے، بشمول سورس کوڈ اور دستخطی سرٹیفکیٹ، اور مرتب کردہ ورژن کے سافٹ ویئر یا تعیناتی کے عمل کے ساتھ چھیڑ چھاڑ کی بھی اجازت دے سکتا ہے۔

خرابی، کے طور پر ٹریک کیا CVE-2024-23917، کمزوری پیش کرتا ہے۔ CWE-288، جو ایک متبادل راستہ یا چینل کا استعمال کرتے ہوئے ایک تصدیقی بائی پاس ہے۔ جیٹ برینز نے 19 جنوری کو اس خامی کی نشاندہی کی۔ یہ 2017.1 سے لے کر 2023.11.2 تک اپنے TeamCity On-Primises مسلسل انضمام اور ترسیل (CI/CD) سرور کے تمام ورژنز کو متاثر کرتا ہے۔

ٹیم سٹی کے ڈینیئل گیلو نے لکھا، "اگر غلط استعمال کیا جاتا ہے، تو یہ خامی کسی غیر تصدیق شدہ حملہ آور کو ٹیم سٹی سرور تک رسائی کے ساتھ تصدیق کی جانچ کو نظرانداز کرنے اور اس ٹیم سٹی سرور کا انتظامی کنٹرول حاصل کرنے کے قابل بنا سکتی ہے۔" CVE-2024-23917 کی تفصیل والی بلاگ پوسٹ میں، اس ہفتے کے شروع میں شائع ہوا۔

JetBrains نے پہلے ہی ایک اپ ڈیٹ جاری کیا ہے جو کمزوری کو دور کرتا ہے، TeamCity On-Premises ورژن 2023.11.3، اور اس کے اپنے TeamCity کلاؤڈ سرورز کو بھی پیچ کیا۔ کمپنی نے یہ بھی تصدیق کی کہ اس کے اپنے سرورز پر حملہ نہیں ہوا تھا۔

ٹیم سٹی کی استحصال کی تاریخ

درحقیقت، TeamCity آن پریمیسس کی خامیوں کو ہلکے سے نہیں لیا جانا چاہیے، کیونکہ پروڈکٹ میں دریافت ہونے والی آخری بڑی خامی نے ایک عالمی سیکیورٹی ڈراؤنے خواب کو جنم دیا جب ریاست کے زیر اہتمام مختلف اداکاروں نے اسے مختلف قسم کے بدنیتی پر مبنی رویے میں ملوث ہونے کا نشانہ بنایا۔

اس صورت میں، ایک اہم ریموٹ کوڈ ایگزیکیوشن (RCE) بگ کے لیے عوامی ثبوت کے تصور (PoC) کا استحصال CVE-2023-42793 — JetBrains کے ذریعہ پایا گیا اور 30 ​​ستمبر کو پیچ کیا گیا — شمالی کوریا کے ریاستی حمایت یافتہ دو دھمکی آمیز گروہوں کے ذریعے فوری طور پر استحصال کا آغاز ہوا جس کا مائیکروسافٹ نے ڈائمنڈ سلیٹ اور اونکس سلیٹ کے نام سے سراغ لگایا۔ گروپس خامی کا فائدہ اٹھایا سائبر جاسوسی، ڈیٹا کی چوری، اور مالی طور پر حوصلہ افزائی والے حملوں سمیت وسیع پیمانے پر بدنیتی پر مبنی سرگرمیوں کو انجام دینے کے لیے بیک ڈور اور دیگر امپلانٹس کو چھوڑنا۔

پھر دسمبر میں، APT29 (عرف CozyBear، Dukes، آدھی رات کا برفانی طوفان، یا نوبیلیم)، بدنام روسی دھمکی گروپ 2020 SolarWinds ہیک کے پیچھے بھی خامی پر پھینک دیا. سی آئی ایس اے، ایف بی آئی اور این ایس اے کی طرف سے ٹریک کردہ سرگرمیوں میں، دوسروں کے درمیان، اے پی ٹی نے کمزور سرورز کو نقصان پہنچایا، انہیں مراعات میں اضافے کے لیے ابتدائی رسائی کے لیے استعمال کیا، بعد میں منتقل کیا، اضافی بیک ڈور تعینات کیا، اور مستقل اور طویل مدتی رسائی کو یقینی بنانے کے لیے دوسرے اقدامات کیے سمجھوتہ شدہ نیٹ ورک کے ماحول میں۔

اپ ڈیٹ یا متبادل تخفیف تجویز کی جاتی ہے۔

اپنی تازہ ترین خامی کے ساتھ اسی طرح کے منظر نامے سے بچنے کی امید کرتے ہوئے، JetBrains نے اپنے ماحول میں متاثرہ پروڈکٹس والے کسی کو بھی فوری طور پر پیچ شدہ ورژن میں اپ ڈیٹ کرنے پر زور دیا۔

اگر یہ ممکن نہیں ہے تو، JetBrains نے ایک سیکیورٹی پیچ پلگ ان بھی جاری کیا جو ڈاؤن لوڈ کے لیے دستیاب ہے اور اسے TeamCity ورژن 2017.1 سے 2023.11.2 تک انسٹال کیا جا سکتا ہے جو اس مسئلے کو حل کر دے گا۔ کمپنی نے بھی پوسٹ کی تنصیب کی ہدایات صارفین کو مسئلے کو کم کرنے میں مدد کرنے کے لیے پلگ ان کے لیے آن لائن۔

تاہم ٹیم سٹی نے اس بات پر زور دیا کہ سیکیورٹی پیچ پلگ ان صرف کمزوری کو دور کرے گا اور دیگر اصلاحات فراہم نہیں کرے گا، اس لیے صارفین کو بہت زیادہ سیکیورٹی اپ ڈیٹس سے فائدہ اٹھانے کے لیے TeamCity On-Primises کا تازہ ترین ورژن انسٹال کرنے کا مشورہ دیا جاتا ہے، گیلو نے لکھا۔

مزید، اگر کسی تنظیم کے پاس کوئی متاثرہ سرور ہے جو انٹرنیٹ پر عوامی طور پر قابل رسائی ہے اور ان میں سے کوئی بھی تخفیف کے اقدامات نہیں کر سکتا ہے، تو JetBrains نے تجویز کیا ہے کہ سرور کو اس وقت تک قابل رسائی بنایا جائے جب تک کہ خامی کو کم نہ کیا جائے۔

استحصال کی تاریخ پر غور کرتے ہوئے جب بات TeamCity کے کیڑے کی ہو تو، پیچ کرنا ایک ضروری اور اہم پہلا قدم ہے جسے تنظیموں کو اس مسئلے سے نمٹنے کے لیے اٹھانے کی ضرورت ہے، Brian Contos، CSO Sevco Security کا مشاہدہ ہے۔ تاہم، یہ دیکھتے ہوئے کہ انٹرنیٹ کا سامنا کرنے والے سرورز ہو سکتے ہیں جن کا ایک کمپنی کھو بیٹھا ہے، وہ تجویز کرتا ہے کہ آئی ٹی ماحول کو مزید مضبوطی سے لاک ڈاؤن کرنے کے لیے مزید اقدامات کرنے کی ضرورت پڑسکتی ہے۔

کونٹوس کا کہنا ہے کہ "اس حملے کی سطح کا دفاع کرنا کافی مشکل ہے جس کے بارے میں آپ جانتے ہیں، لیکن یہ ناممکن ہو جاتا ہے جب ایسے سرورز ہوں جو آپ کے IT اثاثہ جات میں ظاہر نہیں ہوتے ہیں۔" "ایک بار پیچنگ کا خیال رکھنے کے بعد، سیکورٹی ٹیموں کو اپنی توجہ خطرے کے انتظام کے لیے طویل مدتی، زیادہ پائیدار نقطہ نظر کی طرف مبذول کرنی چاہیے۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover