Kritikus TeamCity hibát kihasználva admin fiókok is létrehozhatók

A Rapid7 kiberbiztonsági vállalat jelentése szerint a hackerek aktívan kihasználják a TeamCity On-Premises kritikus súlyosságú hitelesítési megkerülési sebezhetőségét (CVE-2024-27198). A JetBrains egy március 4-én kiadott frissítésben orvosolta a sebezhetőséget, és felszólította a felhasználókat, hogy haladéktalanul frissítsenek a legújabb, TeamCity 2023.11.4-es verzióra. A kihasználás több száz új felhasználó létrehozását eredményezte a TeamCity javítatlan példányain, és több mint 1700 szerver még nem kapta meg a javítást a LeakIX, a felfedett eszközhibák keresőmotorja szerint. A sebezhető hosztok többsége Németországban, az Egyesült Államokban és Oroszországban található, és a hackerek több mint 1440 példányt tettek tönkre.

A 10-ből 9,8-as kritikus súlyossági pontszámmal értékelt hitelesítési megkerülési hiba a TeamCity helyi verziójának minden kiadását érinti a 2023.11.4-es verzióig. A kiszolgáló webes komponensében található sebezhetőség lehetővé teszi, hogy távoli, nem hitelesített támadók rendszergazdai jogosultságokkal átvegyék az irányítást a sebezhető kiszolgáló felett. A TeamCity szerverek kompromittálása jelentős kockázatot jelent az ellátási láncot érintő támadások szempontjából, mivel ezeket a szervereket gyakran használják szoftverek építésére és telepítésére, és potenciálisan érzékeny adatokat, például a kódtelepítési környezetek hitelesítő adatait tartalmazzák. A Rapid7 technikai részleteket közölt a sebezhetőségről, hangsúlyozva, hogy a rendszergazdáknak sürgősen frissíteniük kell a legújabb verzióra, hogy csökkentsék a kihasználás kockázatát.

(forrás)

(forrás)