Vá ngay: Lỗi nghiêm trọng của TeamCity cho phép tiếp quản máy chủ

JetBrains đã vá một lỗ hổng bảo mật nghiêm trọng trong máy chủ TeamCity On-Premises có thể cho phép những kẻ tấn công từ xa không được xác thực giành quyền kiểm soát máy chủ bị ảnh hưởng và sử dụng nó để thực hiện thêm hoạt động độc hại trong môi trường của tổ chức.

TeamCity là nền tảng quản lý vòng đời phát triển phần mềm (SDLC) được khoảng 30,000 tổ chức — bao gồm một số thương hiệu lớn như Citibank, Nike và Ferrari — sử dụng để tự động hóa các quy trình xây dựng, thử nghiệm và triển khai phần mềm. Do đó, đây là nơi chứa nhiều dữ liệu có thể hữu ích cho kẻ tấn công, bao gồm mã nguồn và chứng chỉ ký, đồng thời có thể cho phép giả mạo các phiên bản phần mềm đã biên dịch hoặc quy trình triển khai.

Lỗ hổng, được theo dõi là CVE-2024-23917, bộc lộ điểm yếu CWE-288, đây là phương pháp bỏ qua xác thực bằng cách sử dụng đường dẫn hoặc kênh thay thế. JetBrains đã xác định được lỗ hổng vào ngày 19 tháng 2017.1; nó ảnh hưởng đến tất cả các phiên bản từ 2023.11.2 đến XNUMX của máy chủ phân phối và tích hợp liên tục (CI/CD) TeamCity On-Premises.

Daniel Gallo của TeamCity viết: “Nếu bị lạm dụng, lỗ hổng này có thể cho phép kẻ tấn công không được xác thực có quyền truy cập HTTP(S) vào máy chủ TeamCity để vượt qua các bước kiểm tra xác thực và giành quyền kiểm soát quản trị của máy chủ TeamCity đó”. trong một bài đăng blog nêu chi tiết CVE-2024-23917, được xuất bản vào đầu tuần này.

JetBrains đã phát hành bản cập nhật giải quyết lỗ hổng, TeamCity On-Premises phiên bản 2023.11.3và cũng vá các máy chủ TeamCity Cloud của riêng mình. Công ty cũng xác minh rằng máy chủ của họ không bị tấn công.

Lịch sử khai thác của TeamCity

Thật vậy, không thể xem nhẹ các lỗ hổng của TeamCity On-Premises, vì lỗ hổng lớn cuối cùng được phát hiện trong sản phẩm đã gây ra cơn ác mộng an ninh toàn cầu khi nhiều tác nhân được nhà nước bảo trợ nhắm mục tiêu vào nó để thực hiện một loạt hành vi độc hại.

Trong trường hợp đó, một khai thác bằng chứng khái niệm (PoC) công khai đối với lỗi thực thi mã từ xa (RCE) nghiêm trọng được theo dõi là CVE-2023-42793 — được JetBrains tìm thấy và vá lỗi vào ngày 30 tháng XNUMX năm ngoái — đã gần như bị khai thác ngay lập tức bởi hai nhóm đe dọa do nhà nước Triều Tiên hậu thuẫn được Microsoft theo dõi là Diamond Sleet và Onyx Sleet. Nhóm khai thác lỗ hổng để loại bỏ các cửa hậu và các phần mềm cấy ghép khác nhằm thực hiện nhiều hoạt động độc hại, bao gồm gián điệp mạng, đánh cắp dữ liệu và các cuộc tấn công có động cơ tài chính.

Sau đó vào tháng 29, APTXNUMX (hay còn gọi là CosyBear, the Dukes, Bão tuyết nửa đêm, hay Nobelium), kẻ khét tiếng Nhóm đe dọa Nga đằng sau vụ hack SolarWinds năm 2020, cũng vồ lấy khuyết điểm. Trong hoạt động được CISA, FBI và NSA theo dõi, APT đã tấn công các máy chủ dễ bị tấn công, sử dụng chúng để truy cập ban đầu nhằm nâng cao đặc quyền, di chuyển theo chiều ngang, triển khai các cửa hậu bổ sung và thực hiện các bước khác để đảm bảo quyền truy cập lâu dài và liên tục. tới môi trường mạng bị xâm nhập.

Đề xuất cập nhật hoặc giảm thiểu thay thế

Với hy vọng tránh xảy ra tình huống tương tự với lỗ hổng mới nhất của mình, JetBrains kêu gọi bất kỳ ai có sản phẩm bị ảnh hưởng trong môi trường của họ hãy cập nhật ngay lên phiên bản đã vá.

Nếu điều này không thể thực hiện được, JetBrains cũng đã phát hành một plugin vá bảo mật có sẵn để tải xuống và có thể cài đặt trên các phiên bản TeamCity 2017.1 đến 2023.11.2 để khắc phục sự cố. Công ty cũng đã đăng hướng dẫn cài đặt online cho plugin để giúp khách hàng giảm thiểu vấn đề.

Tuy nhiên, TeamCity nhấn mạnh rằng plugin vá lỗi bảo mật sẽ chỉ giải quyết lỗ hổng và không cung cấp các bản sửa lỗi khác, vì vậy khách hàng nên cài đặt phiên bản mới nhất của TeamCity On-Premises “để hưởng lợi từ nhiều bản cập nhật bảo mật khác”, Gallo viết.

Hơn nữa, nếu một tổ chức có một máy chủ bị ảnh hưởng có thể truy cập công khai qua Internet và không thể thực hiện một trong các bước giảm thiểu đó, JetBrains khuyến nghị rằng máy chủ đó nên ở chế độ có thể truy cập được cho đến khi lỗ hổng được khắc phục.

Brian Contos, CSO tại Sevco Security, nhận xét: Xem xét lịch sử khai thác các lỗi của TeamCity, vá lỗi là bước đầu tiên cần thiết và quan trọng mà các tổ chức cần thực hiện để xử lý vấn đề. Tuy nhiên, do có thể có các máy chủ truy cập Internet mà một công ty đã mất dấu, ông gợi ý rằng có thể cần thực hiện các bước tiếp theo để khóa chặt hơn môi trường CNTT.

Contos cho biết: “Việc bảo vệ bề mặt tấn công mà bạn biết đã đủ khó, nhưng điều đó trở nên bất khả thi khi có các máy chủ dễ bị tấn công không xuất hiện trong kho tài sản CNTT của bạn”. “Sau khi hoàn thành việc vá lỗi, các nhóm bảo mật phải chuyển sự chú ý sang cách tiếp cận lâu dài hơn, bền vững hơn để quản lý lỗ hổng.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover