Parche ahora: error crítico en TeamCity permite adquisiciones de servidores

JetBrains ha parcheado una vulnerabilidad de seguridad crítica en su servidor TeamCity On-Premises que puede permitir que atacantes remotos no autenticados obtengan control sobre un servidor afectado y lo utilicen para realizar más actividades maliciosas dentro del entorno de una organización.

TeamCity es una plataforma de gestión del ciclo de vida del desarrollo de software (SDLC) que unas 30,000 organizaciones (incluidas varias marcas importantes como Citibank, Nike y Ferrari) utilizan para automatizar procesos de creación, prueba e implementación de software. Como tal, alberga una gran cantidad de datos que pueden ser útiles para los atacantes, incluido el código fuente y los certificados de firma, y ​​también podría permitir la manipulación de versiones compiladas de software o procesos de implementación.

La falla, rastreada como CVE-2024-23917, presenta la debilidad CWE-288, que es una omisión de autenticación que utiliza una ruta o canal alternativo. JetBrains identificó la falla el 19 de enero; Afecta a todas las versiones desde 2017.1 hasta 2023.11.2 de su servidor de integración y entrega continua (CI/CD) local TeamCity.

"Si se abusa de ella, la falla puede permitir que un atacante no autenticado con acceso HTTP(S) a un servidor de TeamCity evite los controles de autenticación y obtenga el control administrativo de ese servidor de TeamCity", escribió Daniel Gallo de TeamCity. en una publicación de blog que detalla CVE-2024-23917, publicado a principios de esta semana.

JetBrains ya ha lanzado una actualización que soluciona la vulnerabilidad, TeamCity On-Premises Versión 2023.11.3y también parcheó sus propios servidores TeamCity Cloud. La empresa también verificó que sus propios servidores no fueron atacados.

La historia de explotación de TeamCity

De hecho, las fallas locales de TeamCity no deben tomarse a la ligera, ya que la última falla importante descubierta en el producto provocó una pesadilla de seguridad global cuando varios actores patrocinados por el estado lo atacaron para participar en una variedad de comportamientos maliciosos.

En ese caso, un exploit público de prueba de concepto (PoC) para un error crítico de ejecución remota de código (RCE) rastreado como CVE-2023-42793 – encontrado por JetBrains y parcheado el 30 de septiembre pasado – desencadenó una explotación casi inmediata por parte de dos grupos de amenazas respaldados por el estado de Corea del Norte rastreados por Microsoft como Diamond Sleet y Onyx Sleet. Los grupos explotó la falla eliminar puertas traseras y otros implantes para llevar a cabo una amplia gama de actividades maliciosas, incluido el ciberespionaje, el robo de datos y los ataques con motivación financiera.

Luego, en diciembre, APT29 (también conocido como CozyBear, the Dukes, Ventisca de medianoche, o Nobelio), el famoso grupo de amenaza ruso detrás del hack de SolarWinds de 2020, también se abalanzó sobre el defecto. En una actividad rastreada por CISA, el FBI y la NSA, entre otros, la APT atacó servidores vulnerables, utilizándolos para el acceso inicial para escalar privilegios, moverse lateralmente, implementar puertas traseras adicionales y tomar otras medidas para garantizar un acceso persistente y a largo plazo. a los entornos de red comprometidos.

Actualización o mitigación alternativa recomendada

Con la esperanza de evitar un escenario similar con su última falla, JetBrains instó a cualquier persona que tenga productos afectados en su entorno a actualizar inmediatamente a la versión parcheada.

Si esto no es posible, JetBrains también lanzó un complemento de parche de seguridad que está disponible para descargar y se puede instalar en las versiones de TeamCity 2017.1 a 2023.11.2 que solucionará el problema. La empresa también instrucciones de instalación publicadas en línea para obtener el complemento para ayudar a los clientes a mitigar el problema.

TeamCity enfatizó, sin embargo, que el complemento del parche de seguridad solo abordará la vulnerabilidad y no proporcionará otras soluciones, por lo que se recomienda encarecidamente a los clientes que instalen la última versión de TeamCity On-Premises "para beneficiarse de muchas otras actualizaciones de seguridad", escribió Gallo.

Además, si una organización tiene un servidor afectado al que se puede acceder públicamente a través de Internet y no puede tomar ninguna de esas medidas de mitigación, JetBrains recomendó que el servidor sea accesible hasta que se pueda mitigar la falla.

Teniendo en cuenta el historial de explotación en lo que respecta a errores de TeamCity, la aplicación de parches es un primer paso necesario y crucial que las organizaciones deben dar para manejar el problema, observa Brian Contos, CSO de Sevco Security. Sin embargo, dado que podría haber servidores conectados a Internet a los que una empresa haya perdido el rastro, sugiere que es posible que sea necesario tomar medidas adicionales para bloquear más firmemente un entorno de TI.

"Ya es bastante difícil defender la superficie de ataque que conoces, pero se vuelve imposible cuando hay servidores vulnerables que no aparecen en tu inventario de activos de TI", afirma Contos. "Una vez que se hayan solucionado los parches, los equipos de seguridad deben centrar su atención en un enfoque más sostenible y a más largo plazo para la gestión de vulnerabilidades".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover