Patch maintenant : un bug critique de TeamCity permet des reprises de serveur

JetBrains a corrigé une vulnérabilité de sécurité critique dans son serveur TeamCity On-Premises qui peut permettre à des attaquants distants non authentifiés de prendre le contrôle d'un serveur affecté et de l'utiliser pour effectuer d'autres activités malveillantes au sein de l'environnement d'une organisation.

TeamCity est une plateforme de gestion du cycle de vie du développement logiciel (SDLC) qu'environ 30,000 XNUMX organisations, dont plusieurs grandes marques comme Citibank, Nike et Ferrari, l'utilisent pour automatiser les processus de création, de test et de déploiement de logiciels. En tant que tel, il héberge de nombreuses données qui peuvent être utiles aux attaquants, notamment le code source et les certificats de signature, et pourraient également permettre de falsifier les versions compilées des logiciels ou les processus de déploiement.

Le défaut, suivi comme CVE-2024-23917, présente la faiblesse CWE-288, qui est un contournement d'authentification utilisant un autre chemin ou canal. JetBrains a identifié la faille le 19 janvier ; cela affecte toutes les versions de 2017.1 à 2023.11.2 de son serveur d'intégration et de livraison continues (CI/CD) TeamCity On-Premises.

"En cas d'abus, la faille peut permettre à un attaquant non authentifié disposant d'un accès HTTP(S) à un serveur TeamCity de contourner les contrôles d'authentification et d'obtenir le contrôle administratif de ce serveur TeamCity", a écrit Daniel Gallo de TeamCity. dans un article de blog détaillant CVE-2024-23917, publié plus tôt cette semaine.

JetBrains a déjà publié une mise à jour qui corrige la vulnérabilité, TeamCity On-Premises Version 2023.11.3, et a également corrigé ses propres serveurs TeamCity Cloud. L'entreprise a également vérifié que ses propres serveurs n'avaient pas été attaqués.

L'histoire d'exploitation de TeamCity

En effet, les failles de TeamCity On-Premises ne doivent pas être prises à la légère, car la dernière faille majeure découverte dans le produit a déclenché un cauchemar de sécurité mondiale lorsque divers acteurs parrainés par l'État l'ont ciblé pour se livrer à une série de comportements malveillants.

Dans ce cas, un exploit public de preuve de concept (PoC) pour un bogue critique d'exécution de code à distance (RCE) suivi comme CVE-2023-42793 – découvert par JetBrains et corrigé le 30 septembre dernier – a déclenché une exploitation quasi immédiate par deux groupes de menaces soutenus par l'État nord-coréen et suivis par Microsoft sous le nom de Diamond Sleet et Onyx Sleet. Les groupes exploité la faille pour abandonner les portes dérobées et autres implants permettant de mener un large éventail d'activités malveillantes, notamment le cyberespionnage, le vol de données et les attaques à motivation financière.

Puis en décembre, APT29 (alias CozyBear, the Dukes, Blizzard de minuit, ou Nobelium), le fameux Groupe menaçant russe derrière le hack SolarWinds 2020, également je me suis jeté sur la faille. Dans le cadre d'activités suivies par la CISA, le FBI et la NSA, entre autres, l'APT a attaqué des serveurs vulnérables, les utilisant comme accès initial pour élever les privilèges, se déplacer latéralement, déployer des portes dérobées supplémentaires et prendre d'autres mesures pour garantir un accès persistant et à long terme. aux environnements réseau compromis.

Mise à jour ou atténuation alternative recommandée

Dans l'espoir d'éviter un scénario similaire avec sa dernière faille, JetBrains a exhorté toute personne disposant de produits concernés dans son environnement à mettre immédiatement à jour vers la version corrigée.

Si cela n'est pas possible, JetBrains a également publié un plugin de correctif de sécurité disponible en téléchargement et pouvant être installé sur les versions 2017.1 à 2023.11.2 de TeamCity qui résoudra le problème. La compagnie a également instructions d'installation publiées en ligne pour le plugin afin d'aider les clients à atténuer le problème.

TeamCity a toutefois souligné que le plugin de correctif de sécurité ne traiterait que la vulnérabilité et ne fournirait pas d'autres correctifs. Il est donc fortement recommandé aux clients d'installer la dernière version de TeamCity On-Premises « pour bénéficier de nombreuses autres mises à jour de sécurité », a écrit Gallo.

De plus, si une organisation dispose d'un serveur concerné qui est accessible publiquement sur Internet et ne peut prendre aucune de ces mesures d'atténuation, JetBrains recommande que le serveur soit rendu accessible jusqu'à ce que la faille puisse être atténuée.

Compte tenu de l'historique d'exploitation des bugs de TeamCity, l'application de correctifs est une première étape nécessaire et cruciale que les organisations doivent franchir pour gérer le problème, observe Brian Contos, CSO chez Sevco Security. Cependant, étant donné qu'une entreprise pourrait avoir perdu la trace de certains serveurs connectés à Internet, il suggère que des mesures supplémentaires pourraient être prises pour verrouiller plus fermement un environnement informatique.

« Il est déjà assez difficile de défendre la surface d'attaque que vous connaissez, mais cela devient impossible lorsqu'il existe des serveurs vulnérables qui n'apparaissent pas dans votre inventaire de ressources informatiques », explique Contos. « Une fois les correctifs apportés, les équipes de sécurité doivent se concentrer sur une approche à plus long terme et plus durable de la gestion des vulnérabilités. »

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/patch-critical-teamcity-bug-server-takeover