Bug de autenticação do TeamCity explorado para gerar em massa contas de administrador
7 de Março de 2024

Hackers começaram a explorar a vulnerabilidade crítica de autenticação bypass ( CVE-2024-27198 ) no TeamCity On-Premises, que a JetBrains corrigiu em uma atualização na segunda-feira.

A exploração parece ser massiva, com centenas de novos usuários criados em instâncias não corrigidas do TeamCity expostas na web pública.

LeakIX, um mecanismo de busca para dispositivos expostos e vulnerabilidades por má configuração, informou ao BleepingComputer que pouco mais de 1.700 servidores TeamCity ainda não receberam a correção.

A maioria dos hosts vulneráveis indexados pelo LeakIX estão na Alemanha, nos Estados Unidos e na Rússia, seguidos à distância por China, Países Baixos e França.

Desses, a plataforma indica que hackers já comprometeram mais de 1.440 instâncias.

"Há entre 3 e 300 centenas de usuários criados em instâncias comprometidas, geralmente o padrão é de 8 caracteres alfanuméricos", disse LeakIX ao BleepingComputer.

A GreyNoise, uma empresa que analisa o tráfego de varredura na internet, também registrou em 5 de março um forte aumento nas tentativas de explorar o CVE-2024-27198 .

Segundo as estatísticas da GreyNoise, a maioria das tentativas vem de sistemas nos Estados Unidos na infraestrutura de hospedagem DigitalOcean.

Gregory Boddin da LeakIX disse ao BleepingComputer que os servidores TeamCity observados são máquinas de produção usadas para construir e implantar software.

Isso significa que comprometê-los pode levar a ataques à cadeia de fornecimento, pois podem conter detalhes sensíveis, como credenciais para os ambientes onde o código é implantado, publicado ou armazenado (por exemplo, lojas e marketplaces, repositórios, infraestrutura da empresa).

A empresa de cibersegurança Rapid7 expressou a mesma preocupação em uma postagem de blog analisando a vulnerabilidade e as formas como ela pode ser usada em ataques.

O CVE-2024-27198 tem uma pontuação de severidade crítica de 9,8 em 10 e afeta todas as versões até 2023.11.4 da versão local do TeamCity.

Está presente no componente web do servidor e pode permitir que um invasor remoto e não autenticado assuma o controle de um servidor vulnerável com privilégios administrativos.

Descoberta por Stephen Fewer, pesquisador principal de segurança na Rapid7, a vulnerabilidade foi relatada à JetBrains em meados de fevereiro e corrigida em 4 de março.

A Rapid7 publicou detalhes técnicos completos sobre o que causa o problema e demonstrou como um invasor pode explorá-lo para alcançar a execução remota de código.

A JetBrains anunciou na segunda-feira o lançamento do TeamCity 2023.11.4 com uma correção para o CVE-2024-27198 , encorajando todos os usuários a atualizar as instâncias para a versão mais recente.

Com a exploração maciça já observada, os administradores de instâncias do TeamCity instaladas localmente devem tomar medidas urgentes para instalar o lançamento mais recente.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...