Несогласованные действия специалистов поставили под удар безопасность цепочки поставок.
Исследователи безопасности все чаще обнаруживают активные попытки эксплуатации уязвимостей в TeamCity от JetBrains, которые в некоторых случаях приводят к развертыванию программ-вымогателей.
Компания CrowdStrike наблюдает атаки, предположительно, с использованием модифицированной версии программы-вымогателя Jasmin. Jasmin — это инструмент красной команды (Red Team) с открытым исходным кодом, который повторяет вирус WannaCry и предназначен для имитации атак и помощи организациям в тестировании защиты. Однако Jasmin был адаптирован злоумышленниками для вредоносных целей.
Одним из примеров подобной модификации стал вариант программы-вымогателя GoodWill, обнаруженный в 2022 году. В отличие от стандартных требований выкупа, жертвам предлагалось совершить благотворительные акты, такие как пожертвования и помощь нуждающимся детям, чтобы получить доступ к своим файлам.
Кроме CrowdStrike, другие исследователи также подтвердили активную эксплуатацию двух уязвимостей в TeamCity. По данным сервиса LeakIX, хакеры уже скомпрометировали более 1440 уязвимых экземпляров TeamCity, и на каждом экземпляре, в среднем, создают от 3 до 300 учетных записей для последующего использования. На данный момент, по информации Shadowserver, в интернете все еще доступно 1 182 уязвимых сервера TeamCity, причем большинство из них находится в США и Германии.
Из-за нескоординированного раскрытия двух уязвимостей между JetBrains и Rapid7, которая впервые обнаружила и сообщила о проблемах, вся информация, необходимая хакерам для разработки эксплойта, была обнародована в тот же день, когда были выпущены исправления, что вызвало опасения за потенциальные атаки на цепочку поставок ПО.
Дебаты в сообществе кибербезопасности разгорелись вокруг политики обеих компаний по раскрытию информации об уязвимостях. JetBrains заявила о своем намерении предоставить клиентам время для установки обновлений, прежде чем делать публичными детали ошибок, а Rapid7 придерживалась политики немедленного полного раскрытия с целью обеспечения прозрачности для сообщества. Пользователям версий TeamCity до 2023.11.4 рекомендуется как можно скорее применить обновления безопасности, чтобы минимизировать риски.
Напомним, что в программном обеспечении JetBrains TeamCity On-Premises были обнаружены две уязвимости, которые могут позволить злоумышленнику захватить контроль над затронутыми системами.
CVE-2024-27198 (оценка CVSS: 9.8) и CVE-2024-27199 (оценка CVSS: 7.3) затрагивают все версии TeamCity On-Premises до 2023.11.4 включительно. Недостатки позволяют неаутентифицированному хакеру с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.
Одно найти легче, чем другое. Спойлер: это не темная материя