Hackers começaram a explorar a vulnerabilidade crítica de autenticação bypass (
CVE-2024-27198
) no TeamCity On-Premises, que a JetBrains corrigiu em uma atualização na segunda-feira.
A exploração parece ser massiva, com centenas de novos usuários criados em instâncias não corrigidas do TeamCity expostas na web pública.
LeakIX, um mecanismo de busca para dispositivos expostos e vulnerabilidades por má configuração, informou ao BleepingComputer que pouco mais de 1.700 servidores TeamCity ainda não receberam a correção.
A maioria dos hosts vulneráveis indexados pelo LeakIX estão na Alemanha, nos Estados Unidos e na Rússia, seguidos à distância por China, Países Baixos e França.
Desses, a plataforma indica que hackers já comprometeram mais de 1.440 instâncias.
"Há entre 3 e 300 centenas de usuários criados em instâncias comprometidas, geralmente o padrão é de 8 caracteres alfanuméricos", disse LeakIX ao BleepingComputer.
A GreyNoise, uma empresa que analisa o tráfego de varredura na internet, também registrou em 5 de março um forte aumento nas tentativas de explorar o
CVE-2024-27198
.
Segundo as estatísticas da GreyNoise, a maioria das tentativas vem de sistemas nos Estados Unidos na infraestrutura de hospedagem DigitalOcean.
Gregory Boddin da LeakIX disse ao BleepingComputer que os servidores TeamCity observados são máquinas de produção usadas para construir e implantar software.
Isso significa que comprometê-los pode levar a ataques à cadeia de fornecimento, pois podem conter detalhes sensíveis, como credenciais para os ambientes onde o código é implantado, publicado ou armazenado (por exemplo, lojas e marketplaces, repositórios, infraestrutura da empresa).
A empresa de cibersegurança Rapid7 expressou a mesma preocupação em uma postagem de blog analisando a vulnerabilidade e as formas como ela pode ser usada em ataques.
O
CVE-2024-27198
tem uma pontuação de severidade crítica de 9,8 em 10 e afeta todas as versões até 2023.11.4 da versão local do TeamCity.
Está presente no componente web do servidor e pode permitir que um invasor remoto e não autenticado assuma o controle de um servidor vulnerável com privilégios administrativos.
Descoberta por Stephen Fewer, pesquisador principal de segurança na Rapid7, a vulnerabilidade foi relatada à JetBrains em meados de fevereiro e corrigida em 4 de março.
A Rapid7 publicou detalhes técnicos completos sobre o que causa o problema e demonstrou como um invasor pode explorá-lo para alcançar a execução remota de código.
A JetBrains anunciou na segunda-feira o lançamento do TeamCity 2023.11.4 com uma correção para o
CVE-2024-27198
, encorajando todos os usuários a atualizar as instâncias para a versão mais recente.
Com a exploração maciça já observada, os administradores de instâncias do TeamCity instaladas localmente devem tomar medidas urgentes para instalar o lançamento mais recente.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...