JetBrains a exhorté les clients aujourd’hui à corriger leurs serveurs TeamCity sur site contre une vulnérabilité critique de contournement d’authentification qui peut permettre à des attaquants de prendre le contrôle d’instances vulnérables avec des privilèges d’administrateur.

Identifiée comme CVE-2024-23917, cette faille de gravité critique affecte toutes les versions de TeamCity sur site de 2017.1 à 2023.11.2 et peut être exploitée dans des attaques d’exécution de code à distance (RCE) qui ne nécessitent aucune interaction de l’utilisateur.

« Nous conseillons vivement à tous les utilisateurs de TeamCity sur site de mettre à jour leurs serveurs vers 2023.11.3 pour éliminer la vulnérabilité », a déclaré JetBrains.

« Si votre serveur est accessible au public sur Internet et que vous ne parvenez pas à prendre l’une des mesures d’atténuation ci-dessus immédiatement, nous vous recommandons de le rendre temporairement inaccessible jusqu’à ce que les mesures d’atténuation soient terminées. »

Les clients qui ne peuvent pas mettre à niveau immédiatement peuvent également utiliser un plug-in de correctif de sécurité pour sécuriser les serveurs exécutant TeamCity 2018.2+ et TeamCity 2017.1, 2017.2 et 2018.1.

Bien que la société affirme que tous les serveurs Cloud de TeamCity ont été corrigés et qu’il n’y a aucune preuve qu’ils ont été attaqués, elle n’a pas encore révélé si CVE-2024-23917 a été ciblé dans la nature pour détourner les serveurs Locaux de TeamCity exposés à Internet.

Shadowserver suit plus de 2 000 serveurs TeamCity exposés en ligne, bien qu’il n’y ait aucun moyen de savoir combien ont déjà été corrigés.

Serveurs TeamCity exposés en ligne

​Une faille de contournement d’authentification similaire identifiée comme CVE-2023-42793 a été exploitée par le groupe de piratage APT29 lié au Service de renseignement extérieur russe (SVR) dans des attaques RCE généralisées depuis septembre 2023.

« En choisissant d’exploiter CVE-2023-42793, un programme de développement logiciel, les agences auteurs évaluent que le SVR pourrait bénéficier d’un accès aux victimes, notamment en permettant aux acteurs de la menace de compromettre les réseaux de dizaines de développeurs de logiciels », a averti CISA.

Plusieurs gangs de ransomwares ont exploité la même vulnérabilité depuis début octobre pour violer les réseaux d’entreprise.

Selon Microsoft, les groupes de piratage nord-coréens Lazarus et Andariel ont également utilisé des exploits CVE-2023-42793 pour pirater les réseaux des victimes, probablement en préparation d’attaques de la chaîne d’approvisionnement logicielle.

JetBrains affirme que plus de 30 000 organisations dans le monde utilisent la plate-forme de création et de test de logiciels TeamCity, y compris des sociétés de premier plan comme Citibank, Ubisoft, HP, Nike et Ferrari.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *