Softwareontwikkelaar Jetbrains waarschuwt organisaties dat een "security patch plugin" die eerder dit jaar voor twee kritieke TeamCity-kwetsbaarheden werd uitgebracht is te omzeilen, waardoor servers alsnog risico op aanvallen lopen. Er is nu een bug-fix uitgebracht en klanten worden opgeroepen die te installeren.

TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. Via de twee beveiligingslekken kan een aanvaller met toegang tot een Jetbrains-server de authenticatie omzeilen en beheerderstoegang tot het systeem krijgen.

In maart kwam Jetbrains met twee opties waar klanten uit konden kiezen om zich te beschermen: een 'bug-fix release' of een 'security patch plugin'. Deze plug-in was voornamelijk bedoeld voor klanten die hun servers niet naar de laatste versie konden updaten. Volgens Jetbrains werden met de patch de twee kritieke kwetsbaarheden verholpen. Vandaag meldt de softwareontwikkelaar dat de patch geen volledige bescherming biedt en te omzeilen is.

Als oplossing zijn er nu voor oudere TeamCity-versies bugfixes uitgebracht, waaronder versies die niet meer worden ondersteund. Tevens is het mogelijk voor klanten met oudere 'out-of-maintenance' licenties om een TeamCity-versie met de nieuwe securityfixes te installeren. Daarnaast zijn ook verschillende andere securityfixes aan de nieuwe bugfixes toegevoegd, wat klanten beter zou moeten beschermen.

De Amerikaanse autoriteiten lieten eind vorig jaar weten dat een andere, soortgelijke kwetsbaarheid in TeamCity maandenlang door de Russische geheime dienst werd misbruikt bij aanvallen. Begin dit jaar werd er ook al een 'authentication bypass' kwetsbaarheid in TeamCity ontdekt.