O vulnerabilitate critică (CVE-2024-27198) în soluția de CI/CD TeamCity On-Premises de la JetBrains poate permite unui atacator remote neautentificat să preia controlul serverului cu permisiuni administrative.
Deoarece detalii tehnice complete pentru crearea unui exploit sunt disponibile, administratorii sunt recomandați să acorde prioritate rezolvării problemei prin actualizarea la cea mai recentă versiune a produsului sau instalarea unui plugin de patch de securitate de la vendor.
JetBrains a lansat o nouă versiune a produsului, care include o soluție pentru o a doua problemă de securitate mai puțin severă (CVE-2024-27199) care permite modificarea unui număr limitat de setări de sistem fără a fi nevoie de autentificare.
Ambele probleme sunt în componenta web a TeamCity și afectează toate versiunile instalărilor on-premise.
TeamCity este o soluție de integrare continuă și livrare continuă (CI/CD) care ajută dezvoltatorii de software să își construiască și testeze produsele în mod automatizat.
Cele două vulnerabilități au fost descoperite de Stephen Fewer, un cercetător principal în securitate la Rapid7, și raportate către JetBrains la mijlocul lunii februarie.
Cercetătorii avertizează că CVE-2024-27198 poate oferi unui atacator control complet asupra unui server vulnerabil TeamCity On-Premises, inclusiv pentru execuție de cod remote.
„Compromiterea unui server TeamCity îi permite unui atacator control total asupra tuturor proiectelor, construcțiilor, agenților și artefactelor TeamCity, fiind un vector potrivit pentru a poziționa un atacator pentru a efectua un atac de lanț de aprovizionare” – Rapid7
Rapid7 a demonstrat gravitatea vulnerabilității prin crearea unui exploit care a generat o autentificare și le-a permis să obțină acces shell (sesiune Meterpreter) pe serverul țintă TeamCity.
Rapid7 oferă o explicație completă despre cauza vulnerabilității și cum poate fi declanșată și exploatată pentru a crea un cont de administrator nou sau a genera un nou token de acces de administrator pentru a obține control complet asupra serverului țintă.
Deși mai puțin severă, deoarece atacatorul trebuie să fie deja în rețeaua victimei, a doua vulnerabilitate este de asemenea demnă de remarcat.
Un actor de amenințare ar putea să o exploateze pentru atacuri de denial-of-service (DoS) sau pentru a asculta conexiunile clientului dintr-o poziție de adversar în mijloc.
Rapid7 explică că atacatorii pot provoca o condiție de DoS pe server schimbând numărul portului HTTPS sau încărcând un certificat pe care clienții nu-l validează.
Ascultarea conexiunilor este mai dificilă, totuși, deoarece atacatorul trebuie să se asigure că certificatul pe care îl încarcă este de încredere pentru clienți.
Mai devreme astăzi, JetBrains a anunțat lansarea lui TeamCity 2023.11.4, care abordează cele două vulnerabilități, fără a oferi detalii despre problemele de securitate rezolvate.
Într-o a doua postare pe blog, compania a dezvăluit gravitatea problemelor și efectele exploatării acestora, remarcând că „toate versiunile până la 2023.11.3 sunt afectate”.
Administratorii sunt încurajați să își actualizeze serverul la versiunea 2023.11.4. Dacă acest lucru nu este posibil în prezent, este disponibil un plugin de patch de securitate pentru TeamCity 2018.2 și mai noi, precum și pentru TeamCity 2018.1 și mai vechi.
JetBrains subliniază că varianta cloud a serverului a fost deja patch-uită și nu există indicații că actori de amenințare ar încerca să îi vizeze folosind exploituri pentru niciuna dintre cele două vulnerabilități.
Instalările on-premise ale TeamCity care nu au primit actualizarea sunt expuse la riscuri, în special deoarece instrucțiuni detaliate sunt disponibile cu privire la cum să declanșezi și să exploatezi problemele de securitate.
Se așteaptă ca adversarii să înceapă să caute servere TeamCity vulnerabile expuse pe internetul public și să încerce să obțină acces cu privilegii administrative pentru atacuri de lanț de aprovizionare.
Leave a Reply