JetBrains: Lỗ Hổng Nghiêm Trọng Đe Dọa Hệ Thống

JetBrains: Lỗ Hổng Nghiêm Trọng Đe Dọa Hệ Thống

JetBrains đã phát hành các bản cập nhật bảo mật cho một loạt các lỗ hổng nghiêm trọng, cho phép bỏ qua xác thực, chiếm đoạt tài khoản và thực thi mã từ xa (RCE) trên hệ sinh thái các sản phẩm tại chỗ (on-premise), bao gồm Hub, YouTrack, các IDE dựa trên IntelliJ, Kotlin, GoLand và TeamCity. Những lỗ hổng này đặt các môi trường phát triển và CI/CD vào rủi ro bị xâm phạm trực tiếp nếu các tổ chức chậm trễ trong việc vá lỗi.

Phân tích chi tiết các lỗ hổng JetBrains

Lỗ hổng nghiêm trọng trên JetBrains Hub

Các vấn đề nghiêm trọng nhất ảnh hưởng đến JetBrains Hub và YouTrack, đóng vai trò là các thành phần quản lý định danh và dự án trung tâm.

Trên Hub, một lỗi nghiêm trọng cho phép chiếm đoạt tài khoản thông qua mã khôi phục có thể dự đoán được. Điều này cho phép kẻ tấn công đoán các mã token khôi phục và chiếm đoạt các tài khoản người dùng hiện có một cách có hệ thống.

Một lỗ hổng khác trên Hub cho phép kẻ tấn công leo thang đặc quyền bằng cách đính kèm chi tiết xác thực từ các tài khoản khác, từ đó gắn các thông tin xác thực có đặc quyền cao hơn vào hồ sơ của chúng.

Nguy hiểm hơn, nhiều lỗ hổng trên Hub cho phép bỏ qua xác thực thông qua truy cập trực tiếp vào cơ sở dữ liệu và thiếu các kiểm tra cho các hành động quản trị. Điều này phá vỡ ranh giới tin cậy giữa logic ứng dụng và kho dữ liệu, cấp cho kẻ tấn công toàn quyền quản trị mà không cần thông tin xác thực hợp lệ. Đây là một dạng rủi ro bảo mật cần được ưu tiên khắc phục.

Lỗ hổng trên YouTrack và các sản phẩm khác

YouTrack có mô hình tương tự, với một lỗ hổng bỏ qua xác thực nghiêm trọng liên quan đến truy cập trực tiếp vào cơ sở dữ liệu, cho phép kẻ tấn công giành quyền kiểm soát quản trị đối với hệ thống theo dõi sự cố.

Bên cạnh các vấn đề ở lớp định danh, JetBrains đã khắc phục một số lỗ hổng cấp độ thực thi có thể bị kết hợp với các tài khoản bị xâm phạm để hoàn tất việc chiếm quyền kiểm soát môi trường.

Kotlin bị ảnh hưởng bởi việc mất an toàn trong giải tuần tự hóa (unsafe deserialization) dữ liệu metadata của bộ nhớ đệm xây dựng (build cache metadata). Điều này cho phép dữ liệu được tạo đặc biệt có thể kích hoạt thực thi mã tùy ý trong quá trình hoạt động xây dựng.

GoLand bao gồm một lỗ hổng thực thi mã từ xa bắt nguồn từ cấu hình dự án không đáng tin cậy. Điều này cho phép thực thi logic do kẻ tấn công kiểm soát chỉ bằng cách mở một dự án độc hại.

IntelliJ IDEA chịu ảnh hưởng từ nhiều vector thực thi, bao gồm chèn lệnh (command injection) thông qua hoàn thành tên tệp và thực thi lệnh qua tài khoản người dùng khách (guest user account). Cả hai đều có thể bị lạm dụng khi kẻ tấn công ảnh hưởng đến nội dung dự án hoặc các phiên làm việc của khách.

Các lỗi bổ sung dựa trên mẫu (template-driven bugs) mở rộng bề mặt tấn công cho thực thi mã dựa trên chèn.

Một lỗ hổng trên TeamCity cho phép thực thi mã từ xa thông qua cài đặt kết nối Perforce, tạo ra một mối đe dọa đáng kể đối với chuỗi cung ứng phần mềm.

Kịch bản tấn công và ảnh hưởng hệ thống

Một kẻ tấn công có thể lạm dụng việc bỏ qua xác thực trên Hub hoặc YouTrack, sau đó khai thác một lỗ hổng thực thi mã từ xa (RCE) trên TeamCity hoặc một IDE để chuyển từ một điểm truy cập ban đầu sang kiểm soát hoàn toàn các bản dựng (builds), tạo tác (artifacts) và triển khai (deployments).

Các phiên bản phát hành gần đây (2024–2026) bị ảnh hưởng, nghĩa là ngay cả các phiên bản tại chỗ tương đối cập nhật cũng vẫn bị lộ cho đến khi các bản dựng bảo mật mới nhất được áp dụng.

Các triển khai JetBrains đa người thuê (multi-tenant) hoặc chia sẻ đối mặt với rủi ro bổ sung về lộ lọt dữ liệu giữa các dự án và giả mạo bản dựng, đặc biệt là ở những nơi mà quyền truy cập của khách, phát triển từ xa hoặc các dự án không đáng tin cậy là phổ biến.

Các biện pháp phòng ngừa và vá lỗi

JetBrains đã cung cấp các phiên bản đã khắc phục cho tất cả các sản phẩm bị ảnh hưởng, bao gồm các bản phát hành Hub và YouTrack được cập nhật, các bản dựng Kotlin và GoLand đã vá lỗi, và các phiên bản IntelliJ và TeamCity mới đóng các đường dẫn RCE và bỏ qua xác thực.

Khuyến nghị cho quản trị viên hệ thống

Quản trị viên nên ưu tiên nâng cấp Hub và YouTrack lên các phiên bản mới nhất, hạn chế và giám sát mọi truy cập trực tiếp vào cơ sở dữ liệu, đồng thời thực thi xác thực mạnh (bao gồm MFA) xung quanh các dịch vụ JetBrains.

Người vận hành TeamCity phải áp dụng các bản phát hành bảo mật mới nhất, xoay vòng thông tin xác thực và token được sử dụng trong cấu hình bản dựng, cũng như xem xét nhật ký bản dựng và lịch sử cấu hình để phát hiện các thay đổi đáng ngờ.

Khuyến nghị cho nhà phát triển và đội ngũ bảo mật

Trên các điểm cuối của nhà phát triển, các tổ chức nên bắt buộc cập nhật lên các bản dựng IDE mới nhất, hạn chế mở các dự án không đáng tin cậy và xem xét lại chính sách tin cậy plugin.

Cuối cùng, các đội ngũ bảo mật nên kiểm tra nhật ký JetBrains để phát hiện các hành động quản trị bất thường và siết chặt các quyền kiểm soát truy cập dựa trên vai trò (RBAC) để giảm thiểu phạm vi ảnh hưởng của các lỗ hổng tương tự trong tương lai. Việc cập nhật bản vá kịp thời là cực kỳ quan trọng để đảm bảo an toàn cho hệ thống.

Tham khảo thêm thông tin về các vấn đề đã được khắc phục tại JetBrains Security Issues Fixed.