ความฉลาดทางข้อมูลเชิงกำเนิด

Cyber Security

Patch Now: Critical TeamCity Bug ช่วยให้สามารถยึดเซิร์ฟเวอร์ได้

พิมพ์ซ้ำโดยเพลโต
พิมพ์ซ้ำโดยเพลโต

วันที่:

Views: 0

JetBrains ได้แก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญในเซิร์ฟเวอร์ TeamCity On-Premises ซึ่งสามารถอนุญาตให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องเข้าควบคุมเซิร์ฟเวอร์ที่ได้รับผลกระทบ และใช้เพื่อทำกิจกรรมที่เป็นอันตรายเพิ่มเติมภายในสภาพแวดล้อมขององค์กร

TeamCity เป็นแพลตฟอร์มการจัดการวงจรการพัฒนาซอฟต์แวร์ (SDLC) ที่องค์กรประมาณ 30,000 แห่ง รวมถึงแบรนด์หลักๆ หลายแห่ง เช่น Citibank, Nike และ Ferrari ใช้เพื่อทำให้กระบวนการสร้าง ทดสอบ และปรับใช้ซอฟต์แวร์เป็นแบบอัตโนมัติ ด้วยเหตุนี้ จึงเป็นแหล่งรวมข้อมูลจำนวนมากที่อาจเป็นประโยชน์สำหรับผู้โจมตี รวมถึงซอร์สโค้ดและใบรับรองการลงนาม และยังอาจทำให้เกิดการแทรกแซงซอฟต์แวร์เวอร์ชันที่คอมไพล์หรือกระบวนการปรับใช้อีกด้วย

ข้อบกพร่องติดตามเป็น CVE-2024-23917, นำเสนอจุดอ่อน ซีดับบลิว-288ซึ่งเป็นการบายพาสการรับรองความถูกต้องโดยใช้เส้นทางหรือช่องทางอื่น JetBrains ระบุข้อบกพร่องเมื่อวันที่ 19 มกราคม; โดยมีผลกับทุกเวอร์ชันตั้งแต่ปี 2017.1 ถึง 2023.11.2 ของเซิร์ฟเวอร์การผสานรวมและการส่งมอบอย่างต่อเนื่อง (CI/CD) ของ TeamCity On-Premises

“หากถูกละเมิด ข้อบกพร่องอาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องด้วย HTTP(S) เข้าถึงเซิร์ฟเวอร์ TeamCity เพื่อเลี่ยงผ่านการตรวจสอบการรับรองความถูกต้องและได้รับการควบคุมดูแลระบบของเซิร์ฟเวอร์ TeamCity นั้น” Daniel Gallo จาก TeamCity เขียน ในบล็อกโพสต์ที่มีรายละเอียด CVE-2024-23917 เผยแพร่เมื่อต้นสัปดาห์นี้

JetBrains ได้เปิดตัวการอัปเดตที่แก้ไขช่องโหว่ TeamCity On-Premises แล้ว 2023.11.3 รุ่นและแพตช์เซิร์ฟเวอร์ TeamCity Cloud ของตัวเองด้วย บริษัทยังตรวจสอบด้วยว่าเซิร์ฟเวอร์ของตนเองไม่ได้ถูกโจมตี

ประวัติความเป็นมาของการแสวงหาผลประโยชน์ของ TeamCity

อันที่จริง ข้อบกพร่อง TeamCity On-Premises ไม่ควรมองข้าม เนื่องจากข้อบกพร่องสำคัญล่าสุดที่พบในผลิตภัณฑ์กระตุ้นให้เกิดฝันร้ายด้านความปลอดภัยทั่วโลก เมื่อผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐหลายรายมุ่งเป้าไปที่พฤติกรรมที่เป็นอันตรายต่างๆ

ในกรณีดังกล่าว การใช้ประโยชน์จาก Public Proof-of-Concept (PoC) สำหรับจุดบกพร่อง Critical Remote Code Execution (RCE) จะถูกติดตามเป็น CVE-2023-42793 — พบโดย JetBrains และแพตช์เมื่อวันที่ 30 กันยายนที่ผ่านมา — ก่อให้เกิดการแสวงหาผลประโยชน์ที่แทบจะทันทีโดยกลุ่มภัยคุกคามสองกลุ่มที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือ ซึ่งติดตามโดย Microsoft ในชื่อ Diamond Sleet และ Onyx Sleet กลุ่มต่างๆ ใช้ประโยชน์จากข้อบกพร่อง เพื่อทิ้งแบ็คดอร์และการปลูกฝังอื่น ๆ เพื่อดำเนินกิจกรรมที่เป็นอันตรายมากมาย รวมถึงการจารกรรมทางไซเบอร์ การโจรกรรมข้อมูล และการโจมตีที่มีแรงจูงใจทางการเงิน

จากนั้นในเดือนธันวาคม APT29 (หรือที่รู้จักกันในชื่อ CozyBear, the Dukes, พายุหิมะเที่ยงคืนหรือโนเบเลียม) ที่มีชื่อเสียงโด่งดัง กลุ่มภัยคุกคามรัสเซีย เบื้องหลังการแฮ็ก SolarWinds ปี 2020 เช่นกัน กระโจนเข้าหาข้อบกพร่อง. ในกิจกรรมที่ติดตามโดย CISA, FBI และ NSA และอื่นๆ อีกมากมาย APT ได้ทุบเซิร์ฟเวอร์ที่มีช่องโหว่ โดยใช้เซิร์ฟเวอร์เหล่านี้สำหรับการเข้าถึงเบื้องต้นเพื่อเพิ่มสิทธิพิเศษ ย้ายไปด้านข้าง ปรับใช้แบ็คดอร์เพิ่มเติม และทำตามขั้นตอนอื่น ๆ เพื่อให้มั่นใจว่ามีการเข้าถึงอย่างต่อเนื่องและระยะยาว ไปยังสภาพแวดล้อมเครือข่ายที่ถูกบุกรุก

ด้วยความหวังที่จะหลีกเลี่ยงสถานการณ์ที่คล้ายกันด้วยข้อบกพร่องล่าสุด JetBrains กระตุ้นให้ทุกคนที่มีผลิตภัณฑ์ที่ได้รับผลกระทบในสภาพแวดล้อมของตนให้อัปเดตเป็นเวอร์ชันที่ได้รับการติดตั้งทันที

หากเป็นไปไม่ได้ JetBrains ยังได้เปิดตัวปลั๊กอินแพตช์รักษาความปลอดภัยที่พร้อมให้ดาวน์โหลดและสามารถติดตั้งได้บน TeamCity เวอร์ชัน 2017.1 ถึง 2023.11.2 ที่จะแก้ไขปัญหานี้ บริษัทอีกด้วย โพสต์คำแนะนำในการติดตั้ง ออนไลน์สำหรับปลั๊กอินเพื่อช่วยลูกค้าบรรเทาปัญหา

TeamCity เน้นย้ำว่าปลั๊กอินแพตช์รักษาความปลอดภัยจะแก้ไขเฉพาะจุดอ่อนเท่านั้นและไม่ได้ให้การแก้ไขอื่นๆ ดังนั้นลูกค้าจึงขอแนะนำเป็นอย่างยิ่งให้ติดตั้ง TeamCity On-Premises เวอร์ชันล่าสุด “เพื่อรับประโยชน์จากการอัปเดตความปลอดภัยอื่นๆ อีกมากมาย” Gallo เขียน

นอกจากนี้ หากองค์กรมีเซิร์ฟเวอร์ที่ได้รับผลกระทบซึ่งสามารถเข้าถึงได้แบบสาธารณะผ่านทางอินเทอร์เน็ต และไม่สามารถดำเนินการตามขั้นตอนบรรเทาผลกระทบอย่างใดอย่างหนึ่งได้ JetBrains แนะนำให้สร้างเซิร์ฟเวอร์ให้สามารถเข้าถึงได้จนกว่าข้อบกพร่องจะสามารถบรรเทาลงได้

เมื่อพิจารณาถึงประวัติของการใช้ประโยชน์เมื่อพูดถึงข้อบกพร่องของ TeamCity การแพตช์ถือเป็นขั้นตอนแรกที่จำเป็นและสำคัญที่องค์กรต่างๆ จำเป็นต้องดำเนินการเพื่อจัดการกับปัญหานี้ Brian Contos, CSO ของ Sevco Security ตั้งข้อสังเกต อย่างไรก็ตาม เนื่องจากอาจมีเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตซึ่งบริษัทลืมติดตามไป เขาแนะนำว่าอาจจำเป็นต้องดำเนินการขั้นตอนเพิ่มเติมเพื่อล็อคสภาพแวดล้อมด้านไอทีให้แน่นแฟ้นยิ่งขึ้น

“มันยากพอที่จะป้องกันพื้นผิวการโจมตีที่คุณรู้จัก แต่จะเป็นไปไม่ได้เมื่อมีเซิร์ฟเวอร์ที่มีช่องโหว่ที่ไม่แสดงในรายการสินทรัพย์ไอทีของคุณ” Contos กล่าว “เมื่อแพตช์ได้รับการดูแลแล้ว ทีมรักษาความปลอดภัยจะต้องหันมาให้ความสนใจกับแนวทางการจัดการช่องโหว่ในระยะยาวและยั่งยืนมากขึ้น”

จุด_img

ข่าวกรองล่าสุด

จุด_img

ลิขสิทธิ์ @ 2024 Plato Technologies Inc.