捷克開發工具供應商JetBrains周二緊急修補旗下TeamCity平臺軟體二個重大,且已有濫用行為的漏洞,但是遭到通報資安廠商批評,軟體業者單方向修補漏洞未告知,已違反其安全政策,揚言公布漏洞細節。

JetBrains本周一修補其CI/CD工具TeamCity的CVE-2024-27198及CVE-2024-27199漏洞。兩漏洞是在2月中由Rapid7通報。其中CVE-2024-27198是TeamCity Web元件的驗證繞過漏洞,源於TeamCity的Web元件中的替代路徑,其CVSS風險值為9.8。CVE-2024-27199也是身份驗證繞過漏洞,源自於TeamCity的Web元件中的路徑遍歷問題(path traversal),CVSS風險值為7.3。本次漏洞影響TeamCity 2023.11.4以前的版本,JetBrains發布了軟體更新版本(TeamCity 2023.11.4)及修補程式外掛,也呼籲用戶更新軟體版本。

通常資安業者及軟體公司針對安全漏洞的新聞在此告一段落,但Rapid7卻對JetBrains漏洞修補未告知感到不滿。雙方在2月中首次取得聯繫,2月20日Rapid7提供二項漏洞的技術細節,也提及「協同揭露」(coordinated disclosure)的重要性,要求JetBrains提供修補時程、緩解方法及影響的軟體版本等資訊。但JetBrains反倒建議先暗中修補再公開漏洞資訊,這時Rapid7警告未告知修補是所謂「靜默修補」(silent patching)行為,違反其政策。

Rapid7的靜默修補是指,軟體業者對資安廠商通報的漏洞,在神不知鬼不覺情況下修補起來。不公開歸功於資安研究人員,隱藏漏洞技術細節、攻擊手法、也不發布漏洞編號,認為愈少人知道對用戶愈安全。但Rapid7指出,這種作法只會讓少部份攻擊者和惡意人士獨擁攻擊手法及防衛知識,反而陷大眾於險境。

在雙方溝通未果後,3月4日Rapid7發現JetBrains已發出安全公告發布軟體更新版本,即已在未告知情況下修補了漏洞。Rapid7指控JetBrains的靜默修補行為,揚言將在24小時內公布漏洞細節。當天Rapid7於是公布了漏洞技術細節。同一天JetBrains正式發布新的安全公告,包括漏洞編號及發布說明。

另一家資安業者Shadowserver偵測到,已經有針對TeamCity CVE-2024-27198漏洞的濫用程式,目前已掃瞄到16個來源IP位址。

JetBrains表示,公司政策一般保留不公開技術細節,讓客戶有時間部署防護。該公司提供2項方案,一是升級TeamCity伺服器到2023.11.4版本,二是修補程式外掛,供來不及安裝修補程式的用戶安裝。

熱門新聞

Advertisement