捷克开发工具供应商JetBrains周二紧急修补旗下TeamCity平台软体二个已有滥用行为的重大风险漏洞,但是遭到通报资安厂商批评,软体业者单方向修补漏洞未告知,已违反其安全政策,扬言公布漏洞细节。
JetBrains本周一修补其CI/CD工具TeamCity的CVE-2024-27198及CVE-2024-27199漏洞。两漏洞是在2月中由Rapid7通报。其中CVE-2024-27198是TeamCity Web元件的验证绕过漏洞,源于TeamCity的Web元件中的替代路径,其CVSS风险值为9.8。CVE-2024-27199也是身份验证绕过漏洞,源自于TeamCity的Web元件中的路径遍历问题(path traversal),CVSS风险值为7.3。JetBrains发布了软体更新及修补程式外挂,也呼吁用户更新软体版本。
通常资安业者及软体公司针对安全漏洞的新闻在此告一段落,Rapid7却对JetBrains漏洞修补未告知感到不满。双方在2月中首次取得联系,2月20日Rapid7提供二项漏洞的技术细节,也提及「协同揭露」(coordinated disclosure)的重要性,要求JetBrains提供修补时程、缓解方法及影响的软体版本等资讯,并且提醒未告知修补是Rapid7所谓的「静默修补」(silent patching)行为,违反其政策。
Rapid7的静默修补是指,软体业者对资安厂商通报的漏洞,在神不知鬼不觉情况下修补起来。不公开归功于资安研究人员,隐藏漏洞技术细节、攻击手法、也不发布漏洞编号,认为愈少人知道对用户愈安全。但Rapid7指出,这种作法只会让少部份攻击者和恶意人士独拥攻击手法及防卫知识,反而陷大众于险境。
在双方沟通未果后,3月4日Rapid7发现JetBrains借由更新去年11月的安全公告来重新发布软体更新版本,即已在未告知情况下修补了漏洞。Rapid7指控JetBrains的静默修补行为,扬言将在24小时内公布漏洞细节。当天Rapid7于是公布了漏洞技术细节。同一天JetBrains正式发布新的安全公告,包括漏洞编号及发布说明。
另一家资安业者Shadowserver侦测到,已经有针对TeamCity CVE-2024-27198漏洞的滥用程式,目前已扫瞄到16个来源IP位址。
JetBrains表示,公司政策一般保留不公开技术细节,让客户有时间部署防护。该公司提供2项方案,一是升级TeamCity伺服器到2023年11月版本,二是修补程式外挂,供来不及安装修补程式的用户安装。