Af Eskil Sørensen, 12/03/24
Hackere er begyndt at udnytte en TeamCity auth bypass-fejl til at oprette hundredvis af administratorkonti. Det skriver Bleeping Computer i artikel fra sidste uge.
Der er tale om en kritisk sårbarhed med id-nummeret CVE-2024-27198 og en CVSS-score på 9,8 i TeamCity On-Premises, som JetBrain adresserede i en opdatering mandag den 4. marts. Den påvirker alle udgivelser op til 2023.11.4 af den lokale version af TeamCity.
Administratorkonti
Sårbarheden gør det muligt for en uautoriseret aktør, som har HTTP(S)-adgang til en TeamCity-server, at oprette administratorkonti og opnå fuld kontrol. Sårbarheden udnyttes ved brug af en særlig URL, hvor den ondsindede aktør kan lække følsom information og oprette nye brugere med privilegier, som aktøren selv bestemmer.
Det anbefales, at alle TeamCity-instanser opdateres til version 2023.11.4. Hvi man ikke kan opdatere til nyeste version, kan man bruge deres patch plugin.
Bleeping Computer skriver, at udnyttelsen ser ud til at være ’massiv’, hvor der er tale om hundredvis af nye brugere, som er oprettet på ikke-patchede forekomster af TeamCity, der er eksponeret på internettet. Angiveligt skulle 1700 TeamCity-servere på tidspunktet for publiceringen af artiklen ikke have modtaget rettelsen, hvoraf 1440 skulle være blevet kompromitteret. De fleste sårbare værter skal komme fra Tyskland, USA og Rusland, efterfulgt på Kina, Holland og Frankrig.
Udnyttelse dagen efter rettelse
GreyNoise, der analyserer trafik vedr. internetscanninger, registrerede allerede den 5. marts en kraftig stigning i forsøg på at udnytte CVE-2024-27198. Hvor der tidligere kunne gå to dage fra offentliggørelse til udnyttelsesforsøg er man nu nede på under en dag, hvillket ENISA også bemærkede på et oplæg på den netop overståede konference i Open CSIRT Foundation. Det gælder om at patche hurtigst muligt, når man får kendskab til sårbarheder i ens miljø.
Kompromittering af JetBrain TeamCity kan føre til supply chain-angreb, da de kan indeholde følsomme detaljer såsom legitimationsoplysninger for de miljøer, hvor kode er implementeret, offentliggjort eller gemt. Ifølge Cybersikkerhedsvirksomheden Rapid7 kan kompromittering af en TeamCity-server give en angriber ”fuld kontrol” over alle TeamCity-projekter, builds, agenter og artefakter, og er som sådan en ”passende vektor til at placere en angriber til at udføre et forsyningskædeangreb"
Links:
https://www.bleepingcomputer.com/news/security/critical-teamcity-flaw-no...