Vulnerabilidade crítica no TeamCity pode levar a controle não autorizado do servidor

vulnerabilidade-critica-no-teamcity-pode-levar-a-controle-nao-autorizado-do-servidor

Uma vulnerabilidade crítica, rastreada como CVE-2024-27198, na solução TeamCity On-Premises CI/CD da JetBrains pode permitir que um invasor remoto não autenticado assuma o controle do servidor com permissões administrativas.

Vulnerabilidade crítica no TeamCity

Como estão disponíveis detalhes técnicos completos para criar uma exploração, é altamente recomendável que os administradores priorizem a solução do problema atualizando para a versão mais recente do produto ou instalando um plug-in de patch de segurança do fornecedor. A JetBrains lançou uma nova versão do produto, que inclui uma correção para um segundo problema de segurança menos grave (CVE-2024-27199) que permite modificar um número limitado de configurações do sistema sem a necessidade de autenticação.

Ambos os problemas estão no componente web do TeamCity e afetam todas as versões de instalações locais. TeamCity é uma solução de integração contínua e entrega contínua (CI/CD) que ajuda os desenvolvedores de software a construir e testar seus produtos de forma automatizada.

Explorações disponíveis

As duas vulnerabilidades foram descobertas por Stephen Fewer, principal pesquisador de segurança da Rapid7, e relatadas à JetBrains em meados de fevereiro.

  • CVE-2024-27198 (crítico, gravidade 9,8): uma vulnerabilidade de desvio de autenticação no componente web do TeamCity gerada por um problema de caminho alternativo
  • CVE-2024-27199 (alta, gravidade 7,3): uma vulnerabilidade de passagem de caminho no componente web do TeamCity que permite ignorar a autenticação

Os pesquisadores alertam que o CVE-2024-27198 pode dar a um invasor controle total sobre um servidor TeamCity On-Premises vulnerável, inclusive para execução remota de código.

vulnerabilidade-critica-no-teamcity-pode-levar-a-controle-nao-autorizado-do-servidor
Imagem: Reprodução | Bleeping Computer

Um agente de ameaça poderia explorá-lo para ataques de negação de serviço (DoS) ou para escutar conexões de clientes a partir de uma posição intermediária do adversário. Rapid7 explica que os invasores podem causar uma condição DoS no servidor alterando o número da porta HTTPS ou carregando um certificado que os clientes não validam.

No entanto, espionar conexões é mais difícil, pois o invasor precisa garantir que o certificado que ele carrega é confiável para os clientes.

Atualização lançada

A JetBrains anunciou o lançamento do TeamCity 2023.11.4, que aborda as duas vulnerabilidades, sem fornecer quaisquer detalhes sobre os problemas de segurança corrigidos. Em uma segunda postagem no blog, a empresa divulgou a gravidade dos problemas e os efeitos de explorá-los, observando que “todas as versões até 2023.11.3 serão afetadas”.

Os administradores são fortemente encorajados a atualizar seu servidor para a versão 2023.11.4. Se isso não for possível no momento, um plug-in de patch de segurança está disponível para TeamCity 2018.2 e mais recente, bem como para TeamCity 2018.1 e anterior.

A JetBrains destaca que a variante em nuvem do servidor já foi corrigida e não há indicações de tentativas de agentes de ameaças de atacá-los usando explorações para qualquer uma das duas vulnerabilidades. No entanto, as instalações locais do TeamCity que não receberam a atualização estão em risco, especialmente porque estão disponíveis instruções detalhadas sobre como acionar e aproveitar os problemas de segurança.