JetBrainsсоздатель непрерывная интеграция и доставка (CI/CD) серверная платформа под названием TeamCity и фирма по кибербезопасности. Рапид7обмениваются ударами по поводу обработки двух серьезных уязвимостей в сервисе, поскольку клиенты спешат исправить ситуацию перед лицом подтвержденной эксплуатации.
Две рассматриваемые проблемы отслеживаются как CVE-2024-27198 и CVE-2024-27199. Первый — это ошибка обхода аутентификации в веб-компоненте TeamCity через альтернативную проблему прохода с базовой оценкой CVSS 9,8, что означает, что это критическая проблема. Второй имеет тот же эффект, но имеет базовый балл CVSS 7,3.
В блоге Rapid7 с подробным описанием проблемГлавный исследователь Rapid7 Стивен Фьюер, обнаруживший уязвимости, написал: «Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами TeamCity и, как таковой, является подходящим вектором для позиционирования злоумышленника для выполнения поставок. цепная атака».
В основе разногласий лежит разница в подходах к раскрытию уязвимостей и исправлению.
Об уязвимостях было сообщено JetBrains в рамках скоординированной политики раскрытия информации в четверг, 15 февраля 2024 года. JetBrains признала это в понедельник, 19 февраля, и воспроизвела проблемы во вторник, 20 февраля, после того как Rapid7 предоставила им технический анализ.
В версии Rapid7 компания JetBrains затем предложила выпускать исправления в частном порядке до их публичного раскрытия. В ответ оно подчеркнуло важность скоординированного раскрытия информации и изложило свою позицию против так называемого молчаливого внесения исправлений.
Затем на несколько дней все затихло, пока в пятницу 1 марта Rapid7 не вернулся в JetBrains и повторно запросил дополнительную информацию о затронутых версиях TeamCity и рекомендации поставщиков по устранению последствий. Ему сообщили о присвоенных номерах CVE, но в остальном сообщили, что проблема все еще находится в стадии расследования.
Затем, в понедельник, 4 марта, без связи с Rapid7, JetBrains опубликовала в блоге сообщение о выпуске новой версии TeamCity, в которой исправлены уязвимости. Rapid7 заявила, что выразила обеспокоенность тем, что патч был выпущен без уведомления или координации, а также без опубликованных рекомендаций.
В соответствии со своей собственной политикой раскрытия уязвимостей, если Rapid7 узнает, что было выпущено скрытое исправление, она «стремится опубликовать» подробности об уязвимости в течение 24 часов. что сейчас и сделал.
JetBrains с тех пор опубликовал блог по этому вопросу.и рекомендация, а также заявил, что CVE были включены в примечания к выпуску новой версии TeamCity, но не ответил напрямую на опасения Rapid7 по поводу нескоординированного раскрытия.
По версии JetBrainsон не оспаривает, что предложил то, что Rapid7 назвал бы «тихим патчем», но утверждает, что этот метод раскрытия следовал его скоординированная политика раскрытия информации.
В компании заявили, что хотят пойти по этому пути, чтобы дать клиентам возможность принять обоснованное решение об уровне риска, дать им время для обновления и не дать менее опытным злоумышленникам воспользоваться недостатками в промежуточный период.
JetBrains заявила, что приняла решение не делать скоординированного раскрытия информации после того, как узнала, что это будет означать, что Rapid7 опубликует полную техническую информацию об уязвимостях одновременно с выпуском исправлений.
«Повторю: у нас никогда не было намерения молча выпускать исправление, не раскрывая полную информацию. Как орган нумерации CVE (CNA), мы присвоили идентификаторы CVE для обеих проблем на следующий день после получения отчета», — написал Дэниел Галло, инженер по решениям TeamCity в JetBrains.
«Мы предложили раскрывать подробности об уязвимостях так же, как мы делали это раньше, с временной задержкой между выпуском исправления и полным раскрытием информации, что позволяет нашим клиентам обновлять свои экземпляры TeamCity.
«Это предложение было отклонено командой Rapid7, которая опубликовала полную информацию об уязвимостях и способах их использования через несколько часов после того, как мы выпустили исправление для клиентов TeamCity».
Тихая установка исправлений: плохая идея
Подход к скоординированному раскрытию информации, принятый Rapid7, широко принят и совершенно нормален в мире кибербезопасности. Хотя JetBrains прямо не заявила, почему она отвергает этот подход, напишу в 2022 годуТод Бердсли, главный менеджер по исследованиям в области безопасности Rapid7, предложил возможное объяснение, заявив, что, если принять за чистую монету, тихое исправление может показаться некоторым уместным, поскольку оно, похоже, ограничивает круг людей, которые понимают проблему и знают, как ею воспользоваться. .
Объясняя, почему это не так, Бердсли писал: «Когда компания-разработчик программного обеспечения выпускает патч… в какой-то момент ей приходится изменить код работающего программного обеспечения, а это означает, что все это доступно любому, у кого есть работающий экземпляр исправленного программного обеспечения. и умеет пользоваться отладчиком и дизассемблером. А кто использует отладчики для проверки эффектов патчей? Эксплуатируют почти исключительно разработчиков».
Имея это в виду, сказал Бердсли, тихое исправление фактически ограничивает знание об исправленной уязвимости опытными разработчиками эксплойтов, то есть субъектами угроз, поэтому, хотя верно, что тихое исправление исключает случайных, низкоквалифицированных хакеров и скрипт-кидди, из него также исключаются «хорошие парни», законные пен-тестеры, разработчики защитных технологий, специалисты по реагированию на инциденты и все киберсообщество, которым может быть полезно лучше понять проблему и эффективно сообщить о ней.
«Самое главное, вы исключаете самую важную аудиторию для своего патча: обычных ИТ-администраторов и менеджеров, которым необходимо сортировать входящий поток исправлений на основе некоторых критериев риска и серьезности, а также объявлять время простоя и планировать обновления на основе эти критерии. Не все уязвимости одинаковы, и хотя защитники хотят обойти все из них, им необходимо выяснить, какие из них применить сегодня, а какие могут подождать до следующего цикла обслуживания», — написал он.
Подводя итог аргументам Rapid7, Бердсли сказал, что тихое исправление передает детали уязвимости «исключительно» опытным киберпреступникам и государственным субъектам, которые уже нацелены на уязвимый продукт.
«Все это означает, что тихое внесение исправлений равносильно полному раскрытию информации очень небольшой аудитории, которая в основном хочет навредить вам и вашим пользователям», — заключил он.
В случае с новыми уязвимостями TeamCity важность скоординированного раскрытия приобретает дополнительную важность, учитывая, что предыдущие проблемы в сервисе активно эксплуатировались. никто иной, как APT29, он же Cozy Bearкиберподразделение Службы внешней разведки России (СВР).
Для локальных пользователей TeamCity, попавших под перекрестный огонь (облачные версии полностью исправлены), руководство простое; неудачное раскрытие информации означает, что вы лишились возможности оценивать ваши факторы риска, и единственное решение — немедленно установить исправление.
2024-03-05 16:31:00
1709700671
#Rapid7 #критикует #неудачное #раскрытие #уязвимостей
