.
A loja de segurança Rapid7 está criticando a JetBrains por desrespeitar sua política contra patches silenciosos em relação a correções para duas novas vulnerabilidades no servidor TeamCity CI/CD.
Rapid7 diz que relatou as duas vulnerabilidades do TeamCity em meados de fevereiro, alegando que a JetBrains logo depois sugeriu lançar patches para as falhas antes de divulgá-las publicamente.
Tal movimento é normalmente visto como proibido pela comunidade de segurança da informação, que favorece a transparência, mas aparentemente há um momento e um lugar para essas coisas.
De acordo com a empresa de segurança cibernética, ela respondeu dizendo que não concordaria com a divulgação rápida e apontou a JetBrains para sua política contra correção silenciosa de vulnerabilidades, que estipula que se as empresas violarem essa política, a própria Rapid7 divulgará todos os detalhes da vulnerabilidade, incluindo informações suficientes para permitir que as pessoas desenvolvam explorações, dentro de 24 horas.
Rapid7 afirma que depois de mais de uma semana de silêncio de rádio da JetBrains sobre o assunto de divulgação coordenada, Rapid7 detectou novos patches para CVE-2024-27198 e CVE-2024-27199 na segunda-feira, sem um aviso de segurança publicado e sem informar os pesquisadores.
Seguindo o que parece ser um e-mail severo do Rapid7, a JetBrains lançou um blog detalhando as vulnerabilidades, mas os pesquisadores de segurança dizem que continuou a ignorar perguntas sobre por que violou as normas coordenadas de divulgação de vulnerabilidades.
Todos os detalhes podem ser encontrados na parte inferior do comunicado de segurança do Rapid7.
Um observador com o copo meio cheio pode considerar o comportamento da JetBrains e considerar como a correção silenciosa das vulnerabilidades poderia ter sido positiva. É sabido que alertar os invasores sobre vulnerabilidades antes que as organizações possam aplicar patches geralmente leva a explorações em uma escala que deixa um rastro de vítimas para trás.
A JetBrains pode apenas querer evitar esse cenário, mas como afirma em seu próprio comunicado de segurança, ela estava ciente de que o Rapid7 publicaria dentro de 24 horas, portanto esse otimismo não resiste muito ao escrutínio.
Além disso, de acordo com a empresa de monitoramento da Internet Shadowserver, as explorações das vulnerabilidades já estão bem encaminhadoa partir das 22h UTC do mesmo dia em que as vulnerabilidades foram divulgadas.
Os tipos de copo meio vazio pensarão que a JetBrains procurou evitar a imprensa negativa, especialmente devido aos outros problemas recentes do TeamCity, ou que estava apenas ignorando as normas de divulgação.
Enviamos algumas perguntas sobre isso para a JetBrains, mas eles não responderam imediatamente.
Enquanto JetBrains se prepara para contar seu lado da história, membros da comunidade infosec envergonharam o fornecedor TeamCity pela suposta divulgação descoordenada com Rapid7.
“O blog Rapid7 no JetBrains TeamCity é selvagem – especialmente o cronograma de divulgação”, disse o pesquisador de segurança Ron Bowes no Mastodon.
“Sei, por trabalhar anteriormente nessa equipe, que tentamos muito ser amigáveis e cooperativos com os fornecedores. O fato de Rapid7 denunciá-los por seu comportamento significa que deve ter sido ruim.”
Por dentro das vulnerabilidades do TeamCity
JetBrains disse que as duas vulnerabilidades, ambas descobertas por Stephen Frewer, são “críticas”, embora o Banco de Dados Nacional de Vulnerabilidades (NVD) tenha atribuído apenas uma delas com status crítico.
-
CVE-2024-27198: Uma falha de desvio de autenticação habilitada por um problema de caminho alternativo. Ele está localizado no componente web do TeamCity e possui uma classificação CVSS crítica de 9,8.
-
CVE-2024-27199: Uma falha de desvio de autenticação habilitada por um problema de passagem de caminho. Ele também está localizado no componente web do TeamCity e possui uma alta classificação CVSS de 7,3.
É importante notar que CVE-2024-27198 atrai uma pontuação de gravidade mais alta porque pode permitir que invasores assumam o controle administrativo total de um servidor TeamCity e obtenham execução remota de código não autenticado.
Rapid7 diz que CVE-2024-27199 permite apenas uma “quantidade limitada” de divulgação de informações e modificação do sistema. Isso inclui a possibilidade de um invasor não autenticado substituir o certificado HTTPS de um servidor pelo seu próprio, abrindo assim a possibilidade de ataques man-in-the-middle (MITM).
Deixando de lado a pontuação de gravidade, o CVE-2024-27198 certamente será a principal causa de preocupação para os administradores de servidores CI/CD, dado o potencial de ataques à cadeia de suprimentos.
JetBrains diz que isso afeta apenas a versão local do TeamCity. As versões em nuvem já foram corrigidas e não foram atacadas antes da divulgação.
Todas as versões locais até 2023.11.3 são afetadas pelas falhas, diz JetBrains. Portanto, o melhor caminho para a proteção é atualizar para a versão 2023.11.4 ou instalar o plug-in do patch de segurança. ®
.
