Hackerii au început să exploateze vulnerabilitatea de bypass a autentificării cu severitate critică (CVE-2024-27198) din TeamCity On-Premises, pe care JetBrains a abordat-o printr-o actualizare luni.
Exploatarea pare să fie masivă, cu sute de utilizatori noi creați pe instanțele neactualizate de TeamCity expuse pe web-ul public.
LeakIX, un motor de căutare pentru configurări greșite și vulnerabilități expuse ale dispozitivelor, a declarat pentru BleepingComputer că puțin peste 1.700 de servere TeamCity nu au primit încă remedierea.
Mai multe dintre gazdele vulnerabile indexate de LeakIX sunt în Germania, Statele Unite și Rusia, urmate la distanță de China, Țările de Jos și Franța.
Dintre acestea, platforma indică faptul că hackerii au compromis deja mai mult de 1.440 de instanțe.
„Există între 3 și 300 de utilizatori creați pe instanțele compromise, de obicei modelul este de 8 caractere alfanumerice,” a declarat LeakIX pentru BleepingComputer.
GreyNoise, o companie care analizează traficul de scanare a internetului, a înregistrat, de asemenea, pe 5 martie, o creștere accentuată a încercărilor de exploatare a CVE-2024-27198.
Potrivit statisticilor GreyNoise, cele mai multe încercări vin de la sisteme din Statele Unite pe infrastructura de găzduire DigitalOcean.
Gregory Boddin de la LeakIX a declarat pentru BleepingComputer că serverele TeamCity observate sunt mașini de producție folosite pentru construirea și implementarea software-ului.
Acest lucru înseamnă că compromiterea lor ar putea duce la atacuri asupra lanțului de aprovizionare, deoarece acestea ar putea conține detalii sensibile precum acreditările pentru mediile în care codul este implementat, publicat sau stocat (de exemplu, magazine și piețe, depozite, infrastructura companiei).
Compania de securitate cibernetică Rapid7 a exprimat aceeași îngrijorare într-o postare pe blog analizând vulnerabilitatea și modurile în care poate fi exploatată în atacuri.
„Compromiterea unui server TeamCity permite unui atacator control total asupra tuturor proiectelor, construcțiilor, agenților și artefactelor TeamCity și, ca atare, este un vector potrivit pentru a poziționa un atacator pentru a efectua un atac asupra lanțului de aprovizionare” – Rapid7
CVE-2024-27198 are un scor de severitate critică de 9,8 din 10 și afectează toate versiunile până la 2023.11.4 a versiunii on-premise a TeamCity.
Este prezent în componenta web a serverului și poate permite unui atacator la distanță, neautentificat, să preia controlul unui server vulnerabil cu privilegii administrative.
Descoperit de Stephen Fewer, un cercetător principal în securitate la Rapid7, vulnerabilitatea a fost raportată către JetBrains la mijlocul lunii februarie și a fost remediată la 4 martie.
Rapid7 a publicat detalii tehnice complete despre ceea ce cauzează problema și a demonstrat cum un atacator ar putea să o exploateze pentru a obține executare de cod la distanță.
JetBrains a anunțat luni lanșarea TeamCity 2023.11.4 cu o remediere pentru CVE-2024-27198, încurajând toți utilizatorii să-și actualizeze instanțele la cea mai recentă versiune.
Cu exploatarea masivă deja observată, administratorii instanțelor de TeamCity on-premise ar trebui să ia măsuri urgente pentru instalarea celei mai noi versiuni.
Exploit disponibil pentru noua vulnerabilitate critică de bypass a autentificării din TeamCity, instalați acum patch-ul
JetBrains avertizează cu privire la noua vulnerabilitate de bypass a autentificării din TeamCity
Hackerii exploatează o defecțiune critică RCE în constructorul de site-uri WordPress Bricks
Cel mai nou zero-day Ivanti SSRF acum sub exploatare masivă
Exploatații lansate pentru defecțiunea critică RCE din Jenkins, instalați acum patch-ul
Leave a Reply