Hemen yama yapın! TeamCity güvenlik açığı, kimlik doğrulaması olmadan oturum açmaya izin veriyor
JetBrains, TeamCity yazılım oluşturma platformu için bir yama yayınladı. Sürüm 2023.11.3, saldırganların TeamCity'nin şirket içi sürümünde kimlik doğrulamasını atlamasına olanak verebilecek kritik bir güvenlik açığını giderir.
Duyuru
Güvenlik açığı, 2017.1'den 2023.11.2'ye kadar tüm Sürekli Entegrasyon, Sürekli Dağıtım (CI/CD) Sunucusu sürümlerini etkilediğinden JetBrains, tüm TeamCity sistemlerinin en son sürüme güncellenmesini önemle önerir.
Yazılım tedarik zinciri saldırısı
IntelliJ IDEA gibi çok sayıda geliştirme ortamı da üreten Çek araç üreticisi JetBrains, CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) girişi CVE-2024-23917'deki güvenlik açığını 9,8/10 puanla kritik olarak sınıflandırıyor.
TeamCity sunucusuna HTTP(S) erişimi olan saldırganlar, Ortak Zayıflık Sayımı (CWE-288) şemasını kullanarak kimlik doğrulamayı atlayabilir. JetBrains teknik ayrıntıları yayınlamadı.
Bu, saldırganların etkilenen sunucunun kimlik doğrulaması olmadan yönetim kontrolünü ele geçirmesine olanak tanır. Derleme sunucuları yazılım tedarik zincirinin kritik bir parçasıdır. Buna erişimi olan herkes potansiyel olarak yalnızca kaynak koduna erişmekle kalmaz, aynı zamanda onu değiştirebilir.
Ürün sayfasında JetBrains, diğerlerinin yanı sıra Citibank, Ubisoft ve HP'yi TeamCity için referans müşteriler olarak listeliyor, ancak JetBrains'e göre yaklaşık 30.000 müşteriden kaçının ve hangisinin veri merkezlerinde TeamCity'yi çalıştırdığı açık değil.
Bulut sürümü de bu boşluktan etkilendi ancak JetBrains artık bu boşluğu bir yama ile doldurdu.
Güncelleme veya en azından yama uygulanması önemle tavsiye edilir
Yerel sürümü kullanıyorsanız otomatik güncelleme veya manuel olarak en kısa sürede 2023.11.3 sürümünden bir sürüm yüklemelisiniz.
Güncel sürüme yükseltme seçeneği olmayanlar için JetBrains yamalar sağlamıştır. Bağlantıları JetBrains blogunda ve sunucuyu güncelleme talimatlarında bulabilirsiniz.
Sonbaharı hatırlamak
Eylül 2023'te JetBrains, TeamCity'de CWE-288'e göre kimlik doğrulamanın atlanmasına da izin veren bir güvenlik açığı bildirdi. Siber güvenlik firması Sonar, o dönemde güvenlik açığıyla ilgili teknik ayrıntıları yayınlamıştı.
Görünen o ki, pek çok sistem o dönemde güvenlik güncellemesi olmadan da erişilebilir durumdaydı: Güvenlik araştırmacılarına göre, fidye yazılımı grupları Ekim ayında yama yapılmamış TeamCity sunucularını hedef aldı ve onlara kötü amaçlı yazılım bulaştırdı. Mevcut güvenlik açığına ilişkin daha fazla ayrıntı, güncelleme bilgileri ve yama bağlantıları JetBrains blog yazısında bulunabilir.
(kendim)
Haberin Sonu