TeamCity угодил в вихрь кибератак: хакеры крадут проекты и сливают секретные данные

В программном обеспечении JetBrains TeamCity On-Premises были обнаружены две новые уязвимости безопасности, которые могут быть использованы злоумышленниками для захвата контроля над затронутыми системами.

Уязвимости, получившие идентификаторы CVE-2024-27198 с оценкой критичности по CVSS 9.8 и CVE-2024-27199 с оценкой 7.3, затрагивают все версии TeamCity On-Premises до 2023.11.3 включительно.

Как указано в сообщении JetBrains, «уязвимости позволяют неаутентифицированному злоумышленнику с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером».

«Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок», — указывается в отчёте компании Rapid7, специалисты которой и выявили обе уязвимости.

CVE-2024-27199 также связана с обходом аутентификации из-за проблемы типа Path Traversal, что может позволить неаутентифицированному злоумышленнику заменить сертификат HTTPS на уязвимом сервере TeamCity на свой собственный через точку доступа «/app/https/settings/uploadCertificate» и даже изменить номер порта, который прослушивает служба HTTPS.

Злоумышленник может использовать эту уязвимость для проведения DoS-атаки на сервере TeamCity, изменив номер порта HTTPS или загрузив сертификат, который не пройдёт проверку на стороне клиента. Кроме того, загруженный сертификат может быть использован для проведения атак типа «человек посередине», если клиенты доверяют этому сертификату.

Согласно данным сервиса LeakIX, хакеры уже скомпрометировали более 1440 уязвимых экземпляров TeamCity, и на каждом экземпляре, в среднем, создают от трёх до трёх сотен пользователей.

Грегори Боддин из LeakIX заявил, что обнаруженные серверы TeamCity являются производственными машинами, используемыми для сборки и развёртывания программного обеспечения.

Согласно статистике GreyNoise , большинство попыток компрометации исходят из систем в Соединённых Штатах на инфраструктуре хостинга DigitalOcean.

Пожалуй, не лишним будет напомнить, что обе уязвимости были устранены в TeamCity On-Premises версии 2023.11.4, поэтому всем пользователям рекомендуется незамедлительно обновить свои установки во избежание компрометации. Облачные экземпляры TeamCity Cloud, в свою очередь, были исправлены в автоматическом режиме для всех клиентов.

Появление CVE-2024-27198 и CVE-2024-27199 следует за недавним исправлением компанией JetBrains другой критической уязвимости с идентификатором CVE-2024-23917 и оценкой критичности 9.8, которая также позволяла неаутентифицированному злоумышленнику получить административный контроль над серверами TeamCity.