CVE-2024-37051: кибербандиты похищают GitHub-токены через IntelliJ IDEA

Компания JetBrains призывает пользователей обновить свои интегрированные среды разработки IntelliJ IDEA для устранения критической уязвимости, связанной с доступом к токенам GitHub.

Уязвимость CVE-2024-37051 затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, если включён и используется плагин JetBrains GitHub. 29 мая 2024 года была получена внешняя информация о потенциальной угрозе, влияющей на Pull Request в IDE.

Илья Плескунин, руководитель группы поддержки безопасности JetBrains, сообщил: «Злонамеренное содержание в Pull Request к проекту GitHub, обрабатываемое IDE на базе IntelliJ, может привести к утечке токенов доступа на сторонний хост».

JetBrains выпустила обновления безопасности для всех затронутых версий IDE (2023.1 и новее). Также обновлён и удалён из официального магазина уязвимый плагин JetBrains GitHub.

Полный список исправленных версий IDE на базе IntelliJ включает:

• Aqua: 2024.1.2;
• CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2;
• DataGrip: 2024.1.4;
• DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2;
• GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
• IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
• MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2;
• PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3;
• PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2;
• Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3;
• RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4;
• RustRover: 2024.1.1;
• WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4;

Плескунин настоятельно рекомендует обновиться до последних версий. Более того, для минимизации воздействия JetBrains также связалась с GitHub. В связи с принятыми мерами безопасности в старых версиях IDE плагин отныне может работать некорректно.

JetBrains настоятельно советует пользователям, активно использовавшим функциональность GitHub Pull Request в IntelliJ IDE, отозвать все GitHub-токены, используемые уязвимым плагином. Это поможет предотвратить доступ злоумышленников к связанным аккаунтам GitHub, даже при включенной двухфакторной аутентификации.

При использовании OAuth интеграции или Personal Access Token (PAT), также следует отозвать доступ для приложения JetBrains IDE Integration и удалить токен интеграции плагина IntelliJ IDEA GitHub.

Плескунин пояснил: «После отзыва токена потребуется заново настроить плагин, так как все его функции, включая Git-операции, перестанут работать».

В феврале JetBrains также предупреждала пользователей о критической уязвимости обхода аутентификации, которая позволяла злоумышленникам получить права администратора и взять под контроль уязвимые серверы TeamCity On-Premises. А чуть позже компания даже стала фигурантом скандала, связанного с весьма спорной политикой раскрытия уязвимостей.