โจมตีเป้าหมายสองคน ช่องโหว่ด้านความปลอดภัยในแพลตฟอร์ม TeamCity CI/CD ได้เริ่มต้นอย่างจริงจังเพียงไม่กี่วันหลังจากผู้พัฒนา JetBrains เปิดเผยข้อบกพร่องในวันที่ 3 มีนาคม
การโจมตีดังกล่าวประกอบด้วยแคมเปญอย่างน้อยหนึ่งแคมเปญเพื่อกระจายแรนซัมแวร์ และอีกแคมเปญหนึ่งที่ผู้คุกคามดูเหมือนจะสร้างผู้ใช้ที่เป็นผู้ดูแลระบบบนอินสแตนซ์ TeamCity ที่มีช่องโหว่สำหรับการใช้งานในอนาคต
หนึ่งในช่องโหว่ (ระบุเป็น CVE-2024-27198) มีระดับความรุนแรง CVSS ใกล้สูงสุดที่ 9.8 จาก 10 และเป็นปัญหาการข้ามการรับรองความถูกต้องในส่วนประกอบเว็บของ TeamCity นักวิจัยจาก Rapid7 ผู้ค้นพบช่องโหว่และรายงานไปยัง JetBrains ได้อธิบายว่าเป็น ช่วยให้ผู้โจมตีที่ไม่ได้รับการรับรองจากระยะไกลสามารถรันโค้ดโดยอำเภอใจได้ เพื่อควบคุมอินสแตนซ์ที่ได้รับผลกระทบอย่างสมบูรณ์
CVE-2024-27199ซึ่งเป็นช่องโหว่อื่น ๆ ที่ JetBrains เปิดเผยคือข้อบกพร่องการบายพาสการรับรองความถูกต้องระดับความรุนแรงปานกลางในองค์ประกอบ TeamCity Web เดียวกัน อนุญาตให้เปิดเผยข้อมูลและแก้ไขระบบได้ "ในจำนวนจำกัด" ตามข้อมูลของ Rapid7
นักพัฒนา TeamCity: เป้าหมายอันทรงคุณค่าสำหรับผู้โจมตี
องค์กรประมาณ 30,000 แห่งใช้ TeamCity เพื่อสร้าง ทดสอบ และปรับใช้กระบวนการสำหรับโครงการซอฟต์แวร์ในสภาพแวดล้อม CI/CD โดยอัตโนมัติ เช่นเดียวกับข้อบกพร่องของ TeamCity ล่าสุดอื่น ๆ — เช่น CVE-2024-23917 ในเดือนกุมภาพันธ์ พ.ศ. 2024 และ CVE-2023-42793ซึ่งกลุ่ม Midnight Blizzard ของรัสเซียใช้ในการโจมตีเมื่อปีที่แล้ว (เป็นที่รู้จักจากการโจมตีห่วงโซ่อุปทานของ SolarWinds ที่น่าอับอาย) ทั้งสองกลุ่มใหม่ได้ก่อให้เกิดความกังวลอย่างมาก
ความกังวลนั้นเกี่ยวข้องกับศักยภาพที่ผู้โจมตีจะใช้ข้อบกพร่องเพื่อควบคุมการสร้างซอฟต์แวร์ขององค์กรและโครงการที่จะเปิดตัว การโจมตีห่วงโซ่อุปทานจำนวนมาก.
“ผู้โจมตีตระหนักดีว่าเครื่องมืออย่าง TeamCity สำหรับการปรับใช้การกำหนดค่าเป็นวิธีง่ายๆ ในการเผยแพร่โค้ดที่เป็นอันตรายอย่างรวดเร็ว” Greg Fitzgerald ผู้ร่วมก่อตั้ง Sevco Security กล่าว หลายคนยังใช้เครื่องมือที่เชื่อถือได้ เช่น TeamCity เพื่อเปิดใช้งานการเคลื่อนไหวด้านข้างในวงกว้าง เขากล่าว
Stephen Fewer นักวิจัยด้านความปลอดภัยหลักของ Rapid7 กล่าวว่าผู้โจมตีสามารถใช้เครื่องมือค้นหาเช่น Shodan และ FOFA เพื่อค้นหาเซิร์ฟเวอร์ TeamCity ที่ถูกเปิดเผยเมื่อติดตั้งช่องโหว่ใหม่ ข้อแม้ประการหนึ่งก็คือ มีเซิร์ฟเวอร์ honeypot จำนวนมากที่ปลอมตัวเป็นเซิร์ฟเวอร์ TeamCity ดังนั้นผู้ไม่ประสงค์ดีอาจจำเป็นต้องทำงานเพิ่มเติมเพื่อค้นหาอินสแตนซ์ที่ถูกต้องตามกฎหมาย เขากล่าว
การเอารัดเอาเปรียบหลังจากการค้นพบเป็นเรื่องเล็กน้อย Fewer กล่าว “CVE-2024-27198 สามารถใช้ประโยชน์ได้ผ่านคำขอ HTTP เดียว” เขากล่าว สิ่งนี้ทำให้ “ผู้โจมตีสามารถสร้างบัญชีผู้ใช้ของผู้ดูแลระบบใหม่หรือโทเค็นการเข้าถึงบนระบบ และจากนั้นผู้โจมตีสามารถใช้ประโยชน์จากสิ่งนี้เพื่อเข้ายึดเซิร์ฟเวอร์ได้อย่างสมบูรณ์ รวมถึงการเรียกใช้โค้ดจากระยะไกล [RCE] บนระบบปฏิบัติการเป้าหมาย”
ด้วยการสร้างบัญชีผู้ดูแลระบบใหม่บนอินสแตนซ์ที่มีช่องโหว่ ผู้โจมตีสามารถเข้าถึงและแก้ไขทรัพยากรทั้งหมดที่อินสแตนซ์ TeamCity จัดการ รวมถึงโปรเจ็กต์ เอเจนต์การสร้าง และอาร์ติแฟกต์
“อีกช่องทางหนึ่งที่ผู้โจมตีสามารถใช้ได้คือใช้ประโยชน์จากการเข้าถึงเพื่อเรียกใช้คำสั่งที่กำหนดเองบนระบบปฏิบัติการพื้นฐานเพื่อควบคุมเซิร์ฟเวอร์ได้อย่างเต็มที่” Fewer กล่าว วิธีหนึ่งในการทำเช่นนี้คือการปรับใช้ปลั๊กอิน TeamCity ที่เป็นอันตรายซึ่งโฮสต์เพย์โหลดตามที่ผู้โจมตีเลือก อีกทางเลือกหนึ่งคือการใช้ประโยชน์จาก REST API เพื่อวัตถุประสงค์ในการแก้ไขจุดบกพร่องที่มีอยู่ใน TeamCity บางเวอร์ชันเพื่อรันคำสั่งบนระบบปฏิบัติการ “จากจุดนี้ การโจมตีอาจเจาะลึกเข้าไปในเครือข่ายของเป้าหมาย หรือสร้างการคงอยู่บนเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อรักษาการเข้าถึง” Fewer กล่าว
ภัยคุกคามจาก TeamCity ที่มีความรุนแรงสูง
เมื่อวันที่ 5 มีนาคม ผู้อำนวยการกลุ่มตามล่าภัยคุกคามของ CrowdStrike รายงานการสังเกตหลายกรณีที่ผู้แสดงภัยคุกคาม ใช้ประโยชน์จากข้อบกพร่องทั้งสอง เพื่อปรับใช้สิ่งที่ดูเหมือนจะเป็นเวอร์ชันแก้ไขของ ดอกมะลิซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ผู้ทดสอบของทีมแดงสามารถใช้เพื่อจำลองการโจมตีแรนซัมแวร์จริงได้ ผู้ดูแลเรียก Jasmin ว่าเป็นโคลนของ WannaCry
นอกจากนี้ LeakIX ซึ่งเป็นไซต์ที่รวบรวมข้อมูลการละเมิดและการรั่วไหลรายงานว่าตรวจพบบางส่วน อินสแตนซ์ TeamCity ที่ถูกเปิดเผย 1,711 รายการ บนเว็บ ซึ่งมี 1,442 รายที่แสดงสัญญาณว่ามีใครบางคนสร้างบัญชีผู้ใช้ปลอมขึ้นมาผ่านทาง CVE-2024-27198 “หากคุณเคยเป็น/ยังคงใช้ระบบที่มีช่องโหว่ ให้ถือว่าประนีประนอม” LeakIX ระบุบน X ซึ่งเป็นแพลตฟอร์มที่รู้จักกันในชื่อ Twitter
ในขณะเดียวกัน ShadowServer.org เว็บไซต์ตรวจสอบอินเทอร์เน็ตที่ไม่แสวงหาผลกำไรรายงานว่ากำลังสังเกตการณ์ กิจกรรมการหาประโยชน์สำหรับ CVE-2024-27198 เริ่มตั้งแต่วันที่ 4 มีนาคม — หนึ่งวันหลังจากที่ JetBrains เปิดเผยข้อบกพร่อง
“หากใช้งาน JetBrains TeamCity ภายในองค์กร อย่าลืมแพตช์ CVE-2024-27198 ล่าสุด (การข้ามการตรวจสอบสิทธิ์ระยะไกล) และช่องโหว่ CVE-2024-27199 ทันที!” Shadowserver เตือน องค์กรข่าวกรองภัยคุกคามทางไซเบอร์ที่เป็นอาสาสมัครรายงานการตรวจจับ 1,182 อินสแตนซ์ของ TeamCity บางส่วนอาจมีแพทช์อยู่แล้ว โดยระบุประเทศที่ได้รับผลกระทบมากที่สุด ได้แก่ สหรัฐอเมริกา โดยมี 298 กรณี และเยอรมนี 188 กรณี
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/jetbrains-teamcity-mass-exploitation-underway-rogue-accounts-thrive
