Softwarebedrijf JetBrains heeft securitybedrijf Rapid7 de schuld gegeven van de aanvallen op TeamCity-servers die de afgelopen dagen plaatsvonden. Volgens JetBrains heeft Rapid7 'onethisch' gehandeld door details en een exploit voor een kritieke kwetsbaarheid in TeamCity uit te brengen vijf uur nadat een beveiligingsupdate voor het probleem beschikbaar was gemaakt.
TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. De kritieke kwetsbaarheid in het platform (CVE-2024-27198) maakt het mogelijk voor een aanvaller met toegang tot een Jetbrains-server om de authenticatie te omzeilen en een admin-account aan te maken. Zo kan de aanvaller beheerderstoegang tot het systeem krijgen.
Het beveiligingslek werd gevonden door Rapid7 dat het probleem bij JetBrains rapporteerde. Vervolgens ontstond er een woordenwisseling tussen beide bedrijven over het aankondigen van de kwetsbaarheid en vrijgeven van details. Rapid7 beschuldigde JetBrains van het stilletjes willen patchen van de kwetsbaarheid, wat weer door de TeamCity-ontwikkelaar werd ontkend.
Vijf uur na het uitkomen van de beveiligingsupdate publiceerde Rapid7 details van de kwetsbaarheid en een exploitmodule voor Metasploit. Dit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Kort na het verschijnen van de details en exploitmodule werden TeamCity-servers aangevallen.
"We vinden dat het publiceren van de volledige technische details van een kwetsbaarheid en exploit gelijktijdig met de update onethisch en schadelijk voor onze klanten is", aldus JetBrains. Het bedrijf stelt dat klanten hierdoor onvoldoende tijd hadden om de patch te installeren en zo konden worden aangevallen. "Na de full disclosure hoorden we van klanten dat hun servers waren gecompromitteerd. Dit was mogelijk door de exploit die Rapid7 ter beschikking stelde", aldus JetBrains. Het softwarebedrijf vindt dan ook dat details pas veel later na het verschijnen van een update openbaar moeten worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.