JetBrains, den anerkendte udvikler af integrerede udviklingsmiljøer, har udsendt en kritisk advarsel, der opfordrer alle kunder til at opdatere deres TeamCity On-Premises-servere.
CVE-2024-23917 bør rettes omgående
Uopsætteligheden stammer fra en alvorlig autentificeringsomgåelsessårbarhed, spores som CVE-2024-23917, opdaget i alle versioner af TeamCity On-Premises fra 2017.1 igennem 2023.11.2. Denne sårbarhed udgør en overhængende trussel, giver angribere mulighed for at tage kontrol over sårbare tilfælde med administrative rettigheder uden at kræve brugerinteraktion.
I en nylig udtalelse, JetBrains understregede alvoren af situationen, opfordrer alle TeamCity On-Premises-brugere til straks at opgradere til version 2023.11.3 at udrydde sårbarheden. For dem, der ikke er i stand til at udføre opdateringen med det samme, JetBrains anbefaler midlertidigt at begrænse adgangen til servere, der er tilgængelige via internettet, indtil afbødende foranstaltninger er implementeret.
Kunder, der støder på udfordringer med øjeblikkelige opgraderinger, kan implementere et sikkerhedspatch-plugin, der er skræddersyet til TeamCity 2018.2+ og tidligere versioner, inklusive TeamCity 2017.1, 2017.2, og 2018.1, for at styrke serversikkerheden.
Mens JetBrains har forsikret, at alle TeamCity Cloud-servere er blevet patchet og ikke har opdaget nogen angreb, der udnytter CVE-2024-23917, virksomheden har afstået fra at afsløre, om ondsindede aktører har rettet sig mod internet-eksponerede TeamCity On-Premises-servere.
Alvoren af denne sårbarhed er forstærket af historiske præcedenser, som fremhævet af Shadowservers overvågning af over 2,000 TeamCity-servere eksponeret online. Men, det nøjagtige antal servere, der endnu ikke er rettet, er stadig ukendt.
En forbindelse til CVE-2023-42793
Denne kritiske sårbarhed i TeamCity On-Premises-servere fremkalder minder om en lignende autentificeringsomgåelsesfejl, CVE-2023-42793, udnyttet af den berygtede APT29 hackergruppe, knyttet til Ruslands udenrigsefterretningstjeneste (SVR), i udbredt fjernudførelse af kode (RCE) angreb siden september 2023.
Situationens alvor fik Agenturet for Cybersikkerhed og Infrastruktursikkerhed (CISA) at udsende en advarsel, understreger de potentielle konsekvenser af sådanne udnyttelser, især ved at kompromittere netværkene af adskillige softwareudviklere.
Udnyttelsen af CVE-2023-42793 har ikke været begrænset til statsstøttede aktører alene; ransomware-grupper har udnyttet sårbarheden at infiltrere virksomhedsnetværk siden begyndelsen af oktober. Desuden, hackergrupper som f.eks Nordkoreas Lazarus og Andariel har udnyttet fejlen til i det skjulte at få adgang til ofre’ netværk, antyder potentielle softwareforsyningskædeangreb under opsejling.
JetBrains’ TeamCity-softwarebygnings- og testplatformen kan prale af en betydelig brugerbase på over 30,000 organisationer verden over, herunder prestigefyldte enheder som Citibank, Ubisoft, HP, Nike, og Ferrari. Den udbredte anvendelse af TeamCity viser, hvor presserende det er at tage fat på den kritiske sårbarhed for at beskytte mod potentielt ødelæggende cyberangreb.