立即修补:严重的 TeamCity 错误允许服务器接管

立即修补:严重的 TeamCity 错误允许服务器接管

时间戳:7年2024月1日下午17:XNUMX
立即修补:TeamCity 严重错误允许服务器接管 PlatoBlockchain 数据智能。垂直搜索。人工智能。

JetBrains 已修补其 TeamCity On-Premises 服务器中的一个严重安全漏洞,该漏洞可能允许未经身份验证的远程攻击者获得对受影响服务器的控制权,并利用它在组织环境中执行进一步的恶意活动。

TeamCity 是一个软件开发生命周期 (SDLC) 管理平台,大约 30,000 个组织(包括花旗银行、耐克和法拉利等几个主要品牌)使用该平台来自动化构建、测试和部署软件的流程。因此,它拥有大量对攻击者有用的数据,包括源代码和签名证书,并且还可能允许篡改编译版本的软件或部署过程。

缺陷,被追踪为 CVE-2024-23917, 呈现出弱点 CWE-288,这是使用备用路径或通道的身份验证绕过。 JetBrains 于 19 月 2017.1 日发现了该缺陷;它影响 TeamCity On-Premises 持续集成和交付 (CI/CD) 服务器的从 2023.11.2 到 XNUMX 的所有版本。

TeamCity 的 Daniel Gallo 写道:“如果被滥用,该缺陷可能会使未经身份验证的攻击者通过 HTTP(S) 访问 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的管理控制。” 在详细介绍 CVE-2024-23917 的博客文章中, 本周早些时候发布。

JetBrains 已经发布了解决该漏洞的更新 TeamCity On-Premises 2023.11.3版,并且还修补了自己的 TeamCity Cloud 服务器。该公司还证实自己的服务器没有受到攻击。

TeamCity 的剥削历史

事实上,TeamCity On-Premises 的缺陷不容小视,因为该产品中发现的最后一个重大缺陷引发了全球安全噩梦,当时多个国家资助的参与者针对该缺陷进行了一系列恶意行为。

在这种情况下,针对关键远程代码执行 (RCE) 错误的公开概念验证 (PoC) 漏洞被跟踪为 CVE-2023-42793 由 JetBrains 发现并于去年 30 月 XNUMX 日修补,几乎立即被两个朝鲜国家支持的威胁组织利用,微软将其追踪为 Diamond Sleet 和 Onyx Sleet。团体 利用了这个缺陷 删除用于执行各种恶意活动的后门和其他植入程序,包括网络间谍活动、数据盗窃和出于经济动机的攻击。

然后在 29 月,APTXNUMX(又名 CozyBear、Dukes、 午夜暴风雪,或诺贝尔),臭名昭著的 俄罗斯威胁组织 2020 年 SolarWinds 黑客事件的幕后黑手, 抓住了缺陷。在 CISA、FBI 和 NSA 等机构跟踪的活动中,APT 攻击了易受攻击的服务器,利用它们进行初始访问以升级权限、横向移动、部署额外的后门以及采取其他措施来确保持久和长期的访问到受损的网络环境。

为了避免其最新缺陷出现类似情况,JetBrains 敦促其环境中拥有受影响产品的任何人立即更新到已修补的版本。

如果无法做到这一点,JetBrains 还发布了一个安全补丁插件,可供下载并安装在 TeamCity 版本 2017.1 至 2023.11.2 上,以解决该问题。该公司还 贴出安装说明 在线获取该插件以帮助客户缓解该问题。

不过,TeamCity 强调,安全补丁插件只会解决该漏洞,不会提供其他修复程序,因此强烈建议客户安装最新版本的 TeamCity On-Premises,“以便从许多其他安全更新中受益”,Gallo 写道。

此外,如果组织拥有可通过 Internet 公开访问的受影响服务器,并且无法采取任何缓解措施,JetBrains 建议将该服务器设为可访问状态,直到漏洞得到缓解。

Sevco Security 首席安全官 Brian Contos 表示,考虑到 TeamCity 漏洞的利用历史,修补是组织处理该问题所需采取的必要且关键的第一步。然而,考虑到公司可能已经失去了对面向互联网的服务器的追踪,他建议可能需要采取进一步措施来更牢固地锁定 IT 环境。

“防御您所了解的攻击面已经够困难的了,但当存在没有出现在您的 IT 资产库存中的易受攻击的服务器时,这就变得不可能了,”Contos 说。 “一旦修补完成,安全团队就必须将注意力转向更长期、更可持续的漏洞管理方法。”

时间戳记:

更多来自 暗读