JetBrains TeamCity -ohjelmistossa kriittinen haavoittuvuus

JetBrains TeamCity -ohjelmistoon on julkaistu päivitys, joka korjaa kaksi tunnistautumisen ohittamisen mahdollistavaa haavoittuvuutta. Haavoittuvuudet koskevat TeamCity On-premises tuotteita. Korjaava päivitys on suositeltavaa asentaa mahdollisimman pian.

JetBrains julkaisi tunnistautumisen ohittamisen mahdollistaviin haavoittuvuuksiin korjaavan ohjelmistopäivityksen 4. maaliskuuta 2024.

Haavoittuvuuksia hyväksikäyttämällä tunnistautumaton hyökkääjä voi pyrkiä ohittamaan tunnistautumisen tai luomaan itselleen järjestelmänvalvoja tasoisen pääsyn lähettämällä erityisesti muotoiltuja http(s) pyyntöjä palvelimelle

Haavoittuvuus koskee kaikkia paikallisia (on-prem) TeamCity palvelinasennuksia versioon 2023.11.3 asti. Haavoittuvuudet on korjattu versiossa 2023.11.4.

Haavoittuvuuksien hyväksikäyttöyrityksiä on havaittu. On tärkeää, että päivitysten jälkeen järjestelmä tarkistetaan hyväksikäytön varalta.

JetBrains kertoo tiedotteessaan, että pilvessä (cloud) sijaitsevat palvelimet on päivitetty ja tarkastettu haavoittuvuuden hyväksikäytön osalta heidän toimestaan.

Kyberturvallisuuskeskus suosittelee päivittämään paikalliset TeamCityn asennukset uusimpaan versioon mahdollisimman pian.

Haavoittuvuuden kohde

TeamCity On-Premises versioon 2023.11.3 asti.

Mistä on kysymys?

TeamCity On-Premises päivittäminen versioon 2023.11.4.

Mitä voin tehdä?

JetBrainsin tiedotteen mukaan TeamCity Cloud -ohjelmistot on päivitetty ja tarkastettu hyväksikäytön varalta.

JetBrainsin tiedote:
https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/#which-versions-are-affected?

Rapid7:n blogikirjoitus:
https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.