جيت براينز، صانع أ التكامل المستمر و توصيل منصة خادم (CI/CD) تسمى TeamCity، وشركة الأمن السيبراني سريع7، يتبادلون الضربات بشأن التعامل مع اثنتين من نقاط الضعف الخطيرة في الخدمة حيث يسارع العملاء إلى التصحيح في مواجهة الاستغلال المؤكد.
يتم تعقب المشكلتين المعنيتين باسم CVE-2024-27198 وCVE-2024-27199. الأول هو وجود خلل في تجاوز المصادقة في مكون الويب الخاص بـ TeamCity عبر مشكلة تمرير بديلة، مع درجة أساسية لـ CVSS تبلغ 9.8، مما يعني أنها مشكلة حرجة. والثاني له نفس التأثير، ولكن لديه درجة أساسية لـ CVSS تبلغ 7.3.
في نشر مدونة Rapid7 الذي يعرض تفاصيل المشكلاتكتب ستيفن فيور، الباحث الرئيسي في Rapid7، والذي اكتشف الثغرات الأمنية: “إن اختراق خادم TeamCity يسمح للمهاجم بالتحكم الكامل في جميع مشاريع TeamCity والإنشاءات والوكلاء والمصنوعات اليدوية، وعلى هذا النحو يعد ناقلًا مناسبًا لوضع المهاجم لتنفيذ التوريد هجوم متسلسل.”
يكمن جوهر الخلاف في الاختلاف في طرق الكشف عن الثغرات الأمنية وتصحيحها.
تم الكشف عن الثغرات الأمنية لشركة JetBrains عبر سياسة الكشف المنسقة الخاصة بها يوم الخميس 15 فبراير 2024. وقد أقرت JetBrains بذلك يوم الاثنين 19 فبراير وأعادت إنتاج المشكلات يوم الثلاثاء 20 فبراير بعد تزويدها بالتحليل الفني بواسطة Rapid7.
في نسخة Rapid7 من السرد، اقترحت JetBrains بعد ذلك إطلاق التصحيحات بشكل خاص قبل الكشف عنها للعامة. وردت بالتشديد على أهمية الكشف المنسق، وأوضحت موقفها ضد ما يسمى بالتصحيح الصامت.
بعد ذلك، ساد الهدوء لعدة أيام حتى يوم الجمعة الموافق 1 مارس، عندما عادت Rapid7 إلى JetBrains وأعادت تقديم طلب للحصول على مزيد من المعلومات حول الإصدارات المتأثرة من TeamCity وإرشادات التخفيف الخاصة بالموردين. تم إبلاغها بأرقام مكافحة التطرف العنيف المخصصة، ولكن تم إخبارها بأن المشكلة لا تزال قيد التحقيق.
بعد ذلك، في يوم الاثنين 4 مارس، وبدون الاتصال بـ Rapid7، نشرت JetBrains مدونة تعلن عن إطلاق الإصدار الجديد من TeamCity، الذي قام بتصحيح الثغرات الأمنية. وقالت Rapid7 إنها أعربت عن قلقها من إصدار التصحيح دون إخطار أو تنسيق، ودون أي تحذيرات منشورة.
وبموجب سياسة الكشف عن الثغرات الأمنية الخاصة بها، إذا علمت Rapid7 بإصدار تصحيح صامت، فسوف “تهدف إلى نشر” تفاصيل الثغرة الأمنية في غضون 24 ساعة. وهو ما فعلته الآن.
وقد نشرت JetBrains منذ ذلك الحين مدونة حول هذه القضية، واستشارة، وذكرت أنه تم تضمين التهديدات الشائعة في ملاحظات الإصدار للإصدار الجديد من TeamCity، لكنها لم تستجب بشكل مباشر لمخاوف Rapid7 بشأن الكشف غير المنسق.
في نسخة JetBrains من القصة، فهي لا تجادل في أنها اقترحت ما يمكن أن يطلق عليه Rapid7 التصحيح الصامت، لكنها أكدت أن طريقة الكشف هذه تم اتباعها إنه سياسة الإفصاح المنسقة.
وقالت إنها تريد اتباع هذا المسار لتمكين العملاء من اتخاذ قرار مستنير بشأن مستوى المخاطر، ومنحهم الوقت للترقية، ومنع المهاجمين الأقل مهارة من استغلال العيوب في هذه الأثناء.
وقالت JetBrains إنها اتخذت قرارًا بعدم إجراء كشف منسق بعد أن علمت أن هذا يعني أن Rapid7 ستنشر التفاصيل الفنية الكاملة للثغرات الأمنية في نفس الوقت الذي يتم فيه إسقاط التصحيحات.
“للتكرار، لم تكن لدينا أي نية مطلقًا لإصدار الإصلاح بصمت دون الإعلان عن التفاصيل الكاملة. كتب دانييل جالو، مهندس حلول TeamCity في JetBrains: “باعتبارنا هيئة ترقيم CVE (CNA)، قمنا بتعيين معرفات CVE لكلا الإصدارين بعد يوم من تلقي التقرير”.
“اقترحنا الكشف عن تفاصيل الثغرات الأمنية بنفس الطريقة التي اتبعناها في الماضي، مع تأخير زمني بين إصدار الإصلاح وإجراء الكشف الكامل، مما يسمح لعملائنا بترقية مثيلات TeamCity الخاصة بهم.
“تم رفض هذا الاقتراح من قبل فريق Rapid7 الذي نشر تفاصيل كاملة عن الثغرات الأمنية وكيفية استغلالها بعد ساعات قليلة من إصدار الإصلاح لعملاء TeamCity.”
الترقيع الصامت: فكرة سيئة
إن نهج الكشف المنسق الذي تتبعه Rapid7 مقبول على نطاق واسع وطبيعي تمامًا في عالم الأمن السيبراني، في حين لم تذكر JetBrains صراحة سبب رفضها لهذا النهج، الكتابة في عام 2022، قدم مدير الأبحاث الأمنية الرئيسي في Rapid7، تود بيردسلي، تفسيرًا محتملاً عندما قال إن التصحيح الصامت، في ظاهره، قد يبدو مناسبًا للبعض لأنه يبدو أنه يحد من مجموعة الأشخاص الذين يفهمون المشكلة وكيفية الاستفادة منها .
كتب بيردسلي موضحًا سبب عدم حدوث ذلك: “عندما تقوم شركة برمجيات بإصدار تصحيح… في مرحلة ما، يتعين عليها تعديل التعليمات البرمجية الموجودة على البرنامج قيد التشغيل، مما يعني أن كل ذلك متاح لأي شخص لديه نسخة قيد التشغيل من البرنامج المصحح. ويعرف كيفية استخدام مصحح الأخطاء والمفكك. ومن يستخدم مصححات الأخطاء لفحص تأثيرات التصحيحات؟ استغلال المطورين، على وجه الحصر تقريبًا.
ومع أخذ ذلك في الاعتبار، قال بيردسلي، فإن التصحيح الصامت في الواقع يحد من معرفة الثغرة الأمنية المصححة لمطوري برامج استغلال الثغرات المهرة، أي الجهات الفاعلة في مجال التهديد، لذلك في حين أنه من الصحيح أن التصحيح الصامت يستبعد المتسللين العرضيين ذوي المهارات المنخفضة وأطفال النصوص، كما أنه يستبعد أيضًا الأخيار، ومختبري القلم الشرعيين، ومطوري التقنيات الدفاعية، والمستجيبين للحوادث، والمجتمع الإلكتروني بأكمله الذين قد يستفيدون من القدرة على فهم المشكلة بشكل أفضل والتواصل معها بشكل فعال.
“الأهم من ذلك، أنك تستبعد الجمهور الأكثر أهمية للتصحيح الخاص بك: مسؤولي ومديري تكنولوجيا المعلومات العاديين الذين يحتاجون إلى فرز التدفق الوارد للتصحيحات استنادًا إلى بعض معايير المخاطر والخطورة وإجراء الدعوة لوقت التوقف عن العمل وجدولة التحديث بناءً على تلك المعايير. وكتب: “ليست كل نقاط الضعف متساوية، وبينما يرغب الحماة في الالتفاف عليها جميعًا، فإنهم بحاجة إلى معرفة أي منها يجب تطبيقه اليوم وأي منها يمكنه الانتظار حتى دورة الصيانة التالية”.
وقال بيردسلي، تلخيصًا لحجة Rapid7، إن التصحيح الصامت ينقل تفاصيل الضعف “حصريًا” إلى المهاجمين المجرمين السيبرانيين المهرة والجهات الفاعلة في الدولة القومية الذين يستهدفون بالفعل المنتج الضعيف.
وخلص إلى القول: “كل هذا يعني أن التصحيح الصامت هو بمثابة الكشف الكامل لجمهور صغير جدًا يريد في الغالب إيذائك أنت ومستخدميك”.
وفي حالة الثغرات الأمنية الجديدة في TeamCity، فإن أهمية الكشف المنسق تكتسب أهمية إضافية، نظرًا لأن المشكلات السابقة في الخدمة تم استغلالها بشكل كبير بواسطة APT29، المعروفة أيضًا باسم Cozy Bear، الوحدة الإلكترونية التابعة لجهاز الاستخبارات الخارجية الروسي (SVR).
بالنسبة لمستخدمي TeamCity داخل الشركة الذين وقعوا في مرمى النيران – تم تصحيح الإصدارات السحابية بالكامل – فإن التوجيه بسيط؛ ويعني الكشف الفاشل أن القدرة على تقييم عوامل الخطر الخاصة بك قد تم استبعادها، والحل الوحيد هو التصحيح على الفور.
