JetBrains и Rapid7 в споре: что важнее, безопасность или прозрачность?

Исследователи безопасности все чаще обнаруживают активные попытки эксплуатации уязвимостей в TeamCity от JetBrains, которые в некоторых случаях приводят к развертыванию программ-вымогателей.

Компания CrowdStrike наблюдает атаки, предположительно, с использованием модифицированной версии программы-вымогателя Jasmin. Jasmin — это инструмент красной команды (Red Team) с открытым исходным кодом, который повторяет вирус WannaCry и предназначен для имитации атак и помощи организациям в тестировании защиты. Однако Jasmin был адаптирован злоумышленниками для вредоносных целей.

Одним из примеров подобной модификации стал вариант программы-вымогателя GoodWill, обнаруженный в 2022 году. В отличие от стандартных требований выкупа, жертвам предлагалось совершить благотворительные акты, такие как пожертвования и помощь нуждающимся детям, чтобы получить доступ к своим файлам.

Кроме CrowdStrike, другие исследователи также подтвердили активную эксплуатацию двух уязвимостей в TeamCity. По данным сервиса LeakIX, хакеры уже скомпрометировали более 1440 уязвимых экземпляров TeamCity, и на каждом экземпляре, в среднем, создают от 3 до 300 учетных записей для последующего использования. На данный момент, по информации Shadowserver, в интернете все еще доступно 1 182 уязвимых сервера TeamCity, причем большинство из них находится в США и Германии.

Из-за нескоординированного раскрытия двух уязвимостей между JetBrains и Rapid7, которая впервые обнаружила и сообщила о проблемах, вся информация, необходимая хакерам для разработки эксплойта, была обнародована в тот же день, когда были выпущены исправления, что вызвало опасения за потенциальные атаки на цепочку поставок ПО.

Дебаты в сообществе кибербезопасности разгорелись вокруг политики обеих компаний по раскрытию информации об уязвимостях. JetBrains заявила о своем намерении предоставить клиентам время для установки обновлений, прежде чем делать публичными детали ошибок, а Rapid7 придерживалась политики немедленного полного раскрытия с целью обеспечения прозрачности для сообщества. Пользователям версий TeamCity до 2023.11.4 рекомендуется как можно скорее применить обновления безопасности, чтобы минимизировать риски.

Напомним, что в программном обеспечении JetBrains TeamCity On-Premises были обнаружены две уязвимости, которые могут позволить злоумышленнику захватить контроль над затронутыми системами.

CVE-2024-27198 (оценка CVSS: 9.8) и CVE-2024-27199 (оценка CVSS: 7.3) затрагивают все версии TeamCity On-Premises до 2023.11.4 включительно. Недостатки позволяют неаутентифицированному хакеру с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.