Les pirates informatiques ont commencé à exploiter la vulnérabilité de contournement de l’authentification de gravité critique (CVE-2024-27198) dans TeamCity Sur site, que JetBrains a abordée dans une mise à jour lundi.

L’exploitation semble massive, avec des centaines de nouveaux utilisateurs créés sur des instances non corrigées de TeamCity exposées sur le Web public.

Risque d’attaques de la chaîne d’approvisionnement
LeakIX, un moteur de recherche pour les erreurs de configuration et les vulnérabilités des appareils exposés, a déclaré à Breachtrace qu’un peu plus de 1 700 serveurs TeamCity n’ont pas encore reçu le correctif.

Installations de TeamCity vulnérables au bogue de contournement d’authentification CVE-2024-27198

La plupart des hôtes vulnérables répertoriés par LeakIX se trouvent en Allemagne, aux États-Unis et en Russie, suivis de loin par la Chine, les Pays-Bas et la France.

Parmi ceux-ci, la plate-forme indique que les pirates ont déjà compromis plus de 1 440 instances.

« Il y a entre 3 et 300 centaines d’utilisateurs créés sur des instances compromises, généralement le modèle est de 8 caractères alphanum », a déclaré LeakIX à Breachtrace .

Les instances TeamCity sont déjà compromises via CVE-2024-27198

GreyNoise, une société qui analyse le trafic de numérisation Internet, a également enregistré le 5 mars une forte augmentation des tentatives d’exploitation de CVE-2024-27198.

Selon les statistiques de GreyNoise, la plupart des tentatives proviennent de systèmes aux États-Unis sur l’infrastructure d’hébergement DigitalOcean.

Gregory Boddin de LeakIX a déclaré à Breachtrace que les serveurs TeamCity observés sont des machines de production utilisées pour créer et déployer des logiciels.

Cela signifie que les compromettre pourrait entraîner des attaques de la chaîne d’approvisionnement car ils peuvent contenir des détails sensibles tels que des informations d’identification pour les environnements où le code est déployé, publié ou stocké (par exemple, les magasins et les places de marché, les référentiels, l’infrastructure de l’entreprise).

La société de cybersécurité Rapid7 a exprimé la même préoccupation dans un article de blog analysant la vulnérabilité et les façons dont elle peut être exploitée lors d’attaques

« Compromettre un serveur TeamCity permet à un attaquant un contrôle total sur tous les projets, builds, agents et artefacts de TeamCity, et en tant que tel est un vecteur approprié pour positionner un attaquant pour effectuer une attaque de la chaîne d’approvisionnement » – Rapid7

Mise à jour urgente de TeamCity
CVE-2024-27198 a un score de gravité critique de 9,8 sur 10 et affecte toutes les versions jusqu’à 2023.11.4 de la version sur site de TeamCity.

Il est présent dans le composant Web du serveur et peut permettre à un attaquant distant non authentifié de prendre le contrôle d’un serveur vulnérable avec des privilèges administratifs.

Découverte par Stephen Fewer, chercheur principal en sécurité chez Rapid7, la vulnérabilité a été signalée à JetBrains à la mi-février et corrigée le 4 mars.

Rapid7 a publié des détails techniques complets sur les causes du problème et a démontré comment un attaquant pouvait l’exploiter pour exécuter du code à distance.

JetBrains a annoncé lundi la sortie de TeamCity 2023.11.4 avec un correctif pour CVE-2024-27198, encourageant tous les utilisateurs à mettre à jour les instances vers la dernière version.

Avec une exploitation massive déjà observée, les administrateurs des instances TeamCity sur site doivent prendre des mesures urgentes pour installer la dernière version.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *