JetBrains geeft securitybedrijf schuld van aanvallen op TeamCity-servers
Softwarebedrijf JetBrains heeft securitybedrijf Rapid7 de schuld gegeven van de aanvallen op TeamCity-servers die de afgelopen dagen plaatsvonden. Volgens JetBrains heeft Rapid7 'onethisch' gehandeld door details en een exploit voor een kritieke kwetsbaarheid in TeamCity uit te brengen vijf uur nadat een beveiligingsupdate voor het probleem beschikbaar was gemaakt.
TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software. De kritieke kwetsbaarheid in het platform (CVE-2024-27198) maakt het mogelijk voor een aanvaller met toegang tot een Jetbrains-server om de authenticatie te omzeilen en een admin-account aan te maken. Zo kan de aanvaller beheerderstoegang tot het systeem krijgen.
Het beveiligingslek werd gevonden door Rapid7 dat het probleem bij JetBrains rapporteerde. Vervolgens ontstond er een woordenwisseling tussen beide bedrijven over het aankondigen van de kwetsbaarheid en vrijgeven van details. Rapid7 beschuldigde JetBrains van het stilletjes willen patchen van de kwetsbaarheid, wat weer door de TeamCity-ontwikkelaar werd ontkend.
Vijf uur na het uitkomen van de beveiligingsupdate publiceerde Rapid7 details van de kwetsbaarheid en een exploitmodule voor Metasploit. Dit is een opensourceframework voor het testen van de beveiliging van systemen en netwerken en is erg geliefd bij penetratietesters en securityprofessionals. Kort na het verschijnen van de details en exploitmodule werden TeamCity-servers aangevallen.
"We vinden dat het publiceren van de volledige technische details van een kwetsbaarheid en exploit gelijktijdig met de update onethisch en schadelijk voor onze klanten is", aldus JetBrains. Het bedrijf stelt dat klanten hierdoor onvoldoende tijd hadden om de patch te installeren en zo konden worden aangevallen. "Na de full disclosure hoorden we van klanten dat hun servers waren gecompromitteerd. Dit was mogelijk door de exploit die Rapid7 ter beschikking stelde", aldus JetBrains. Het softwarebedrijf vindt dan ook dat details pas veel later na het verschijnen van een update openbaar moeten worden.
Rapid7 vraagt om samen te werken voor gecoordineerde disclosure En op 23 Februari besluitJetbrains voor sturen van een nee of beter gezegd geen reactie door uberhaubt. Na week geen reactie op de aanvraag stuurt Rapid7 weer een reminder door en nu reageert Jetbrains wel.
Daarna maakt Jetbrains vervolgens op 4 Maart zelf de infomatie bekend op social media voor dat Rapid7 een bericht publiceert en door dat handelen ziet Rapid7 ineens nieuws feeds verschijnen over de patch die nog niet disclosed mocht worden. Rapid7 ziet dat terecht als vrijgave en neemt keurig contact op met melding dat publicatie volgt.
En laten we wel wezen TeamCity was al target dus hier hadden ze prio aan moeten geven.
https://thehackernews.com/2024/02/critical-jetbrains-teamcity-on-premises.html
Jetbrains hun product en daarmee hun verantwoordlijkheid.
TLDR;
Het idee van gecoordineerde disclosure is dat beide kanten tegelijk laten weten wat ze gaan doen. Jetbrains heeft dat niet gedaan en Rapid7 kreeg via de media wind ervan niet via Jetbrains. Rapid7 zag dat als einde van de tijdsonderhandeling en heeft alles gepubliceerd.
...
Het idee van gecoordineerde disclosure is dat beide kanten tegelijk laten weten wat ze gaan doen. Jetbrains heeft dat niet gedaan en Rapid7 kreeg via de media wind ervan niet via Jetbrains. Rapid7 zag dat als einde van de tijdsonderhandeling en heeft alles gepubliceerd.
Of je nu vindt Rapid7 gelijk heeft of niet, ze hebben in ieder geval de (eind)gebruikers opgezadeld met de problemen, en dat is wel echt erg fout van Rapid7.
...
Het idee van gecoordineerde disclosure is dat beide kanten tegelijk laten weten wat ze gaan doen. Jetbrains heeft dat niet gedaan en Rapid7 kreeg via de media wind ervan niet via Jetbrains. Rapid7 zag dat als einde van de tijdsonderhandeling en heeft alles gepubliceerd.
Of je nu vindt Rapid7 gelijk heeft of niet, ze hebben in ieder geval de (eind)gebruikers opgezadeld met de problemen, en dat is wel echt erg fout van Rapid7.
Hadden ze geluisterd en gecommuniceerd was er niks aan de hand geweest. Waren er waarschijnlijk veel coulantere release times gegeven. Rapid7 staat er niet bekend om bedrijven onder de bus te gooien zolang ze geen details verbergen ik heb meerdere disclosures gezien waar om verlenging was gevraagd voor release datum en ook gegeven. Maar Jetbrains helaas nu dus wel.
Jetbrains vergeet 1 cruciaal ding. Geen researcher gaat nu nog zijn poten uitsteken naar hun toe zonder eerst een volledig contract en betaling omdat ze toch niet luisteren en ook nog eens bereid zijn tot smaad. Gevolg Jetbrains producten zijn zojuist door Jetbrains zelf stukken onveliger geworden.
En verder als eind afnemer zeker van enterprise diensten kun je het je niet meer permiteren dat je paar dagen wacht met patchen. Drie dagen geen actie in huidige digitale opzet is vragen om moeilijkheden. We patchen hier om de 24 uur en voor cruciale diensten binnen het uur na dat we een release zien. De ontwikkelingen gaan zo snel dat je er wel verplicht tot wordt als je goed met klant en bedrijfds data wil omgaan. En die disclosures zullen vanzelf nog korter worden door dat A.I ook steeds meer crimineel wordt ingezet.
90 dagen kan men vaak wel halen en mocht dat echt niet lukken dan valt dat op te schuiven. Als men maar gewoon contact blijft houden. Zo niet:
Tor + exploit-db + random handle en publliceren als 0-day.
Misschien worden ze dan eens een keer wakker.....
Als het waar is dat developers er zelfs de tijd niet voor krijgen.
Het graaiorgel moet door... en dan krijg je op den duur iets wat op vijf vingers van een hand te spellen valt - c h a o s.
Hoe erg zal de chaos moeten worden, eer men het anders gaat doen?
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.