image

JetBrains geeft securitybedrijf schuld van aanvallen op TeamCity-servers

maandag 11 maart 2024, 11:10 door Redactie, 7 reacties

Softwarebedrijf JetBrains heeft securitybedrijf Rapid7 de schuld gegeven van de aanvallen op TeamCity-servers die de afgelopen dagen plaatsvonden. Volgens JetBrains heeft Rapid7 'onethisch' gehandeld door details en een exploit voor een kritieke kwetsbaarheid in TeamCity uit te brengen vijf uur nadat een beveiligingsupdate voor het probleem beschikbaar was gemaakt.

TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. De kritieke kwetsbaarheid in het platform (CVE-2024-27198) maakt het mogelijk voor een aanvaller met toegang tot een Jetbrains-server om de authenticatie te omzeilen en een admin-account aan te maken. Zo kan de aanvaller beheerderstoegang tot het systeem krijgen.

Het beveiligingslek werd gevonden door Rapid7 dat het probleem bij JetBrains rapporteerde. Vervolgens ontstond er een woordenwisseling tussen beide bedrijven over het aankondigen van de kwetsbaarheid en vrijgeven van details. Rapid7 beschuldigde JetBrains van het stilletjes willen patchen van de kwetsbaarheid, wat weer door de TeamCity-ontwikkelaar werd ontkend.

Vijf uur na het uitkomen van de beveiligingsupdate publiceerde Rapid7 details van de kwetsbaarheid en een exploitmodule voor Metasploit. Dit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Kort na het verschijnen van de details en exploitmodule werden TeamCity-servers aangevallen.

"We vinden dat het publiceren van de volledige technische details van een kwetsbaarheid en exploit gelijktijdig met de update onethisch en schadelijk voor onze klanten is", aldus JetBrains. Het bedrijf stelt dat klanten hierdoor onvoldoende tijd hadden om de patch te installeren en zo konden worden aangevallen. "Na de full disclosure hoorden we van klanten dat hun servers waren gecompromitteerd. Dit was mogelijk door de exploit die Rapid7 ter beschikking stelde", aldus JetBrains. Het softwarebedrijf vindt dan ook dat details pas veel later na het verschijnen van een update openbaar moeten worden.

Reacties (7)
11-03-2024, 12:01 door Anoniem
Aanklagen die handel.
11-03-2024, 12:31 door Anoniem
Nee Jetbrains jullie hebben gefaald en een ander bedrijf heeft dat haarfijn nu gepubliceerd.

Rapid7 vraagt om samen te werken voor gecoordineerde disclosure En op 23 Februari besluitJetbrains voor sturen van een nee of beter gezegd geen reactie door uberhaubt. Na week geen reactie op de aanvraag stuurt Rapid7 weer een reminder door en nu reageert Jetbrains wel.

Daarna maakt Jetbrains vervolgens op 4 Maart zelf de infomatie bekend op social media voor dat Rapid7 een bericht publiceert en door dat handelen ziet Rapid7 ineens nieuws feeds verschijnen over de patch die nog niet disclosed mocht worden. Rapid7 ziet dat terecht als vrijgave en neemt keurig contact op met melding dat publicatie volgt.

En laten we wel wezen TeamCity was al target dus hier hadden ze prio aan moeten geven.
https://thehackernews.com/2024/02/critical-jetbrains-teamcity-on-premises.html

Jetbrains hun product en daarmee hun verantwoordlijkheid.

TLDR;
Het idee van gecoordineerde disclosure is dat beide kanten tegelijk laten weten wat ze gaan doen. Jetbrains heeft dat niet gedaan en Rapid7 kreeg via de media wind ervan niet via Jetbrains. Rapid7 zag dat als einde van de tijdsonderhandeling en heeft alles gepubliceerd.
11-03-2024, 12:46 door Anoniem
JetBrains had iets beter kunnen communiceren met Rapid7. Verder lijkt het gewoon een smerige wraakactie van Rapid7 omdat ze op hun pik getrapt waren vanwege die iets wat slechte communicatie. Vulnerability disclosure, sure. Maar om nou direct een metaspoilt module ervoor uit te brengen en het niet even een paar dagen de tijd te geven.... twijfelachtig.
11-03-2024, 16:22 door Anoniem
Door Anoniem: Nee Jetbrains jullie hebben gefaald en een ander bedrijf heeft dat haarfijn nu gepubliceerd.
...
Het idee van gecoordineerde disclosure is dat beide kanten tegelijk laten weten wat ze gaan doen. Jetbrains heeft dat niet gedaan en Rapid7 kreeg via de media wind ervan niet via Jetbrains. Rapid7 zag dat als einde van de tijdsonderhandeling en heeft alles gepubliceerd.

Of je nu vindt Rapid7 gelijk heeft of niet, ze hebben in ieder geval de (eind)gebruikers opgezadeld met de problemen, en dat is wel echt erg fout van Rapid7.
11-03-2024, 20:17 door Anoniem
Door Anoniem:
Door Anoniem: Nee Jetbrains jullie hebben gefaald en een ander bedrijf heeft dat haarfijn nu gepubliceerd.
...
Het idee van gecoordineerde disclosure is dat beide kanten tegelijk laten weten wat ze gaan doen. Jetbrains heeft dat niet gedaan en Rapid7 kreeg via de media wind ervan niet via Jetbrains. Rapid7 zag dat als einde van de tijdsonderhandeling en heeft alles gepubliceerd.

Of je nu vindt Rapid7 gelijk heeft of niet, ze hebben in ieder geval de (eind)gebruikers opgezadeld met de problemen, en dat is wel echt erg fout van Rapid7.
Dat is aan de onderhouder van de service niet aan Rapid7.

Hadden ze geluisterd en gecommuniceerd was er niks aan de hand geweest. Waren er waarschijnlijk veel coulantere release times gegeven. Rapid7 staat er niet bekend om bedrijven onder de bus te gooien zolang ze geen details verbergen ik heb meerdere disclosures gezien waar om verlenging was gevraagd voor release datum en ook gegeven. Maar Jetbrains helaas nu dus wel.

Jetbrains vergeet 1 cruciaal ding. Geen researcher gaat nu nog zijn poten uitsteken naar hun toe zonder eerst een volledig contract en betaling omdat ze toch niet luisteren en ook nog eens bereid zijn tot smaad. Gevolg Jetbrains producten zijn zojuist door Jetbrains zelf stukken onveliger geworden.

En verder als eind afnemer zeker van enterprise diensten kun je het je niet meer permiteren dat je paar dagen wacht met patchen. Drie dagen geen actie in huidige digitale opzet is vragen om moeilijkheden. We patchen hier om de 24 uur en voor cruciale diensten binnen het uur na dat we een release zien. De ontwikkelingen gaan zo snel dat je er wel verplicht tot wordt als je goed met klant en bedrijfds data wil omgaan. En die disclosures zullen vanzelf nog korter worden door dat A.I ook steeds meer crimineel wordt ingezet.
12-03-2024, 07:52 door Anoniem
Haha lekker voor je Jetbrains.... Ik heb ook wel eens spelers getroffen die totaal niet reageren, met een advocaat dreigen of pas na een x aantal !jaar! met een patch komen (hoi ubiquiti). Het verbaast mij niet meer. Voor veel developers is security toch maar een bijzaak.

90 dagen kan men vaak wel halen en mocht dat echt niet lukken dan valt dat op te schuiven. Als men maar gewoon contact blijft houden. Zo niet:
Tor + exploit-db + random handle en publliceren als 0-day.

Misschien worden ze dan eens een keer wakker.....
12-03-2024, 14:19 door Anoniem
Is toch kwalijk als security bijzaak wordt.

Als het waar is dat developers er zelfs de tijd niet voor krijgen.

Het graaiorgel moet door... en dan krijg je op den duur iets wat op vijf vingers van een hand te spellen valt - c h a o s.

Hoe erg zal de chaos moeten worden, eer men het anders gaat doen?

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.