Une vulnérabilité critique (CVE-2024-27198) dans la solution CI/CD sur site TeamCity de JetBrains peut permettre à un attaquant distant non authentifié de prendre le contrôle du serveur avec des autorisations administratives.

Étant donné que tous les détails techniques pour créer un exploit sont disponibles, il est fortement recommandé aux administrateurs de donner la priorité à la résolution du problème en mettant à jour vers la dernière version du produit ou en installant un plug-in de correctif de sécurité du fournisseur.

JetBrains a publié une nouvelle version du produit, qui inclut un correctif pour un deuxième problème de sécurité moins grave (CVE-2024-27199) qui permet de modifier un nombre limité de paramètres système sans avoir besoin de s’authentifier.

Les deux problèmes concernent le composant Web de TeamCity et affectent toutes les versions des installations sur site.

TeamCity est une solution d’intégration continue et de livraison continue (CI / CD)qui aide les développeurs de logiciels à créer et à tester leurs produits de manière automatisée.

Exploits disponibles
Les deux vulnérabilités ont été découvertes par Stephen Fewer, chercheur principal en sécurité chez Rapid7, et signalées à JetBrains à la mi-février.

  • CVE-2024-27198 (critique, gravité 9.8): une vulnérabilité de contournement d’authentification dans le composant Web de TeamCity générée par un problème de chemin alternatif
  • CVE-2024-27199 (élevé, gravité 7.3): une vulnérabilité de traversée de chemin dans le composant Web de TeamCity qui permet de contourner l’authentification

Les chercheurs avertissent que CVE-2024-27198 peut donner à un attaquant un contrôle total sur un serveur Teamcity vulnérable sur site, y compris pour l’exécution de code à distance.

« Compromettre un serveur TeamCity permet à un attaquant un contrôle total sur tous les projets, builds, agents et artefacts de TeamCity, et en tant que tel est un vecteur approprié pour positionner un attaquant pour effectuer une attaque de la chaîne d’approvisionnement » – Rapid7

Rapid7 a démontré la gravité de la faille en créant un exploit qui a généré une authentification et leur a permis d’obtenir un accès shell (session Meterpreter) sur le serveur TeamCity cible.

CVE-2024-27198 exploité pour un accès par porte dérobée sur le serveur TeamCity

Rapid7 fournit une explication complète sur la cause de la vulnérabilité et sur la manière dont elle peut être déclenchée et exploitée pour créer un nouveau compte administrateur ou générer un nouveau jeton d’accès administrateur afin d’obtenir un contrôle total sur le serveur cible.

Bien que moins sévère, car l’attaquant doit déjà être sur le réseau de la victime, la deuxième vulnérabilité est également remarquable.

Un acteur de la menace pourrait l’exploiter pour des attaques par déni de service (DoS) ou pour écouter les connexions client à partir d’un adversaire en position intermédiaire.

Rapid7 explique que les attaquants peuvent provoquer une condition DoS sur le serveur en modifiant le numéro de port HTTPS ou en téléchargeant un certificat que les clients ne valident pas.

L’écoute des connexions est cependant plus difficile, car l’attaquant doit s’assurer que le certificat qu’il télécharge est approuvé par les clients.

Exploitation de CVE-2024 – 27199 pour modifier le certificat HTTPS et le numéro de port

Mise à jour publiée
Plus tôt dans la journée, JetBrains a annoncé la sortie de TeamCity 2023.11.4, qui corrige les deux vulnérabilités, sans fournir de détails sur les problèmes de sécurité résolus.

Dans un deuxième article de blog, la société a révélé la gravité des problèmes et les effets de leur exploitation, notant que “toutes les versions jusqu’en 2023.11.3 sont affectées.”

Les administrateurs sont fortement encouragés à mettre à jour leur serveur vers la version 2023.11.4. Si cela n’est pas actuellement possible, un plugin de correctif de sécurité est disponible pour TeamCity 2018.2 et versions ultérieures ainsi que pour TeamCity 2018.1 et versions antérieures.

JetBrains souligne que la variante cloud du serveur a déjà été corrigée et qu’il n’y a aucune indication que des acteurs de la menace tentent de les cibler en utilisant des exploits pour l’une ou l’autre des deux vulnérabilités.

Les installations sur site de TeamCity qui n’ont pas reçu la mise à jour sont cependant à risque, d’autant plus que des instructions détaillées sont disponibles sur la façon de déclencher et d’exploiter les problèmes de sécurité.

Les adversaires devraient commencer à rechercher les serveurs TeamCity vulnérables exposés sur l’Internet public et essayer d’obtenir un accès avec des privilèges administratifs pour les attaques de la chaîne d’approvisionnement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *