A JetBrains pediu aos clientes que corrijam seus servidores TeamCity On-Premises contra uma vulnerabilidade crítica de desvio de autenticação. Essa falha pode permitir que invasores assumam o controle de instâncias vulneráveis com privilégios de administrador.
Vulnerabilidade do TeamCity: JetBrain alerta para correção
Rastreada como CVE-2024-23917, esta falha de gravidade crítica afeta todas as versões do TeamCity On-Premises de 2017.1 a 2023.11.2 e pode ser explorada em ataques de execução remota de código (RCE) que não requerem interação do usuário.
Aconselhamos fortemente todos os usuários do TeamCity On-Premises a atualizar seus servidores para 2023.11.3 para eliminar a vulnerabilidade.
Se o seu servidor estiver acessível publicamente pela Internet e você não conseguir executar imediatamente uma das etapas de mitigação acima, recomendamos torná-lo temporariamente inacessível até que as ações de mitigação sejam concluídas.
JetBrains
Para aqueles clientes que não podem atualizar imediatamente, eles também podem usar um plug-in de patch de segurança para proteger servidores que executam TeamCity 2018.2+ e TeamCity 2017.1, 2017.2 e 2018.1.
Embora a empresa diga que todos os servidores TeamCity Cloud foram corrigidos e não há evidências de que tenham sido atacados, ela ainda não revelou se o CVE-2024-23917 foi direcionado para sequestrar servidores TeamCity On-Premises expostos à Internet. O Shadowserver está rastreando mais de 2.000 servidores TeamCity expostos online , embora não haja como saber quantos já foram corrigidos.
Uma falha de desvio de autenticação semelhante rastreada como CVE-2023-42793 foi explorada pelo grupo de hackers APT29 ligado ao Serviço de Inteligência Estrangeira (SVR) da Rússia em ataques RCE generalizados desde setembro de 2023.
Ao optar por explorar o CVE-2023-42793, um programa de desenvolvimento de software, as agências autoras avaliam que o SVR poderia se beneficiar do acesso às vítimas, especialmente ao permitir que os atores da ameaça comprometam as redes de dezenas de desenvolvedores de software.
CISA
Exploração da falha
Várias gangues de ransomware exploraram a mesma vulnerabilidade desde o início de outubro para violar redes corporativas. De acordo com a Microsoft, os grupos de hackers norte-coreanos Lazarus e Andariel também usaram explorações CVE-2023-42793 para fazer backdoor nas redes das vítimas, provavelmente em preparação para ataques à cadeia de suprimentos de software.
A JetBrains afirma que mais de 30.000 organizações em todo o mundo usam a plataforma de construção e teste de software TeamCity, incluindo empresas de alto perfil como Citibank, Ubisoft, HP, Nike e Ferrari. Esperamos que os usuários consigam executar a correção e se livrar desse problema de uma vez por todas.