.
Os pesquisadores de segurança estão vendo cada vez mais tentativas ativas de exploração usando as vulnerabilidades mais recentes no TeamCity da JetBrains que, em alguns casos, levam à implantação de ransomware.
Brody Nisbet, diretor de operações de caça a ameaças da loja de segurança CrowdStrike, xeetado na terça-feira, a telemetria já mostrava sinais de ataques usando uma versão supostamente modificada do ransomware Jasmin.
Rapid7 joga JetBrains sob o ônibus por ‘divulgação de vulnerabilidade descoordenada’
CONSULTE MAIS INFORMAÇÃO
Jasmin é uma ferramenta de red teaming de código aberto que imita o WannaCry e foi projetada para ajudar as organizações a simular ataques de ransomware, mas foi modificada no passado para fins maliciosos.
A variante do ransomware GoodWill foi um exemplo de 2022 que bloqueou o acesso das vítimas aos seus arquivos, mas em vez de exigir o pagamento de um resgate para um endereço criptográfico, as vítimas tiveram que realizar boas ações, como doar dinheiro e alimentar crianças necessitadas.
O registro pediu a Nisbet mais informações sobre o que viu, mas as diferenças de fuso horário significaram que não poderíamos nos conectar imediatamente.
Outros pesquisadores concordaram em dizer que os ataques que usam o par de vulnerabilidades, uma crítica e outra de alta gravidade, estão bem encaminhados.
Christiaan Beek, diretor sênior de análise de ameaças da Rapid7, observou no AttackerKB que ambas as vulnerabilidades do TeamCity foram detectadas sendo exploradas em estado selvagem.
O mecanismo de pesquisa de configuração incorreta de segurança LeakIX também disse CVE-2024-27198, a mais grave das duas vulnerabilidades, estava sendo explorada em grande escala, com invasores invadindo servidores CI/CD e criando centenas de contas para uso posterior.
Os nomes de usuário registrados após a exploração parecem ser strings compostas por oito caracteres alfanuméricos aleatórios, que, se detectados em uma instância do TeamCity, podem ser um indicador de comprometimento.
De acordo com os últimos dados disponíveis do monitoramento de internet Shadowserver, ainda existem 1.182 servidores TeamCity expostos à internet e vulneráveis a problemas de segurança. Os EUA e a Alemanha hospedam o maior número de servidores expostos, com 298 e 188, respectivamente.
Aqueles que executam versões locais do TeamCity anteriores a 2023.11.4 são aconselhados a aplicar os patches imediatamente. Dada a natureza do produto afetado e a facilidade de exploração, o potencial de ataques à cadeia de fornecimento de software é uma grande preocupação.
Devido à divulgação descoordenada das duas vulnerabilidades entre a JetBrains e os pesquisadores da Rapid7 que descobriram e relataram os problemas pela primeira vez esta semana, todas as informações necessárias para um invasor desenvolver uma exploração funcional foram tornadas públicas no mesmo dia em que os patches foram lançados. lançado.
Suposto patch silencioso causa agitação na segurança da informação
Caso você tenha perdido o drama de terça-feira, 5 de março, Rapid7 foi acusado de jogar JetBrains sob o ônibus ao publicar um cronograma de divulgação que mostrava as políticas contrastantes dos dois fornecedores quando se trata de publicar detalhes de vulnerabilidades.
Resumindo, a JetBrains disse à Rapid7 que queria lançar patches para os clientes e dar-lhes tempo para aplicá-los antes de publicar detalhes das vulnerabilidades que poderiam levar ao desenvolvimento de código de exploração.
A política do Rapid7 é publicar as vulnerabilidades na íntegra no momento em que os patches são lançados para manter a transparência total da comunidade. A JetBrains argumentou que, neste caso, dada a gravidade dos problemas e as possíveis consequências de um ataque bem-sucedido, os clientes deveriam ter tempo para corrigir os problemas, enquanto o mundo não tem conhecimento dos problemas.
Depois que a Rapid7 viu que a JetBrains foi em frente e fez as coisas do seu jeito, lançando patches com poucos detalhes técnicos, ela publicou seu relatório completo.
A situação dividiu a comunidade da cibersegurança, uma vez que ambas as partes têm argumentos válidos para as suas respetivas políticas.
A JetBrains disse que “nunca teve a intenção de lançar uma correção silenciosamente, sem tornar públicos todos os detalhes”, apenas queria dar aos seus clientes tempo para aplicar as correções antes que os ataques pudessem se espalhar.
“Esta sugestão foi rejeitada pela equipe Rapid7, que publicou detalhes completos das vulnerabilidades (e como explorá-las) algumas horas depois de termos lançado uma correção para os clientes do TeamCity.”
Parece haver alguma confusão entre as duas empresas sobre a conduta da JetBrains, que afirma ser do melhor interesse dos seus clientes.
O Rapid7 provavelmente viu os patches entrarem no ar no fim de semana sem um aviso de segurança e presumiu que os detalhes nunca seriam divulgados pelo fornecedor, então ele assumiu a responsabilidade. JetBrains negou que fosse esse o caso. ®
.
