Falha Crítica no JetBrains TeamCity Pode Expor o Código-Fonte e Pipelines de Construção aos Atacantes
26 de Setembro de 2023

Uma vulnerabilidade crítica de segurança no software de integração contínua e implantação contínua (CI/CD) JetBrains TeamCity pode ser explorada por invasores não autenticados para atingir a execução remota de código em sistemas afetados.

A falha, rastreada como CVE-2023-42793 , recebeu uma pontuação CVSS de 9.8 e foi abordada na versão 2023.05.4 do TeamCity, após uma divulgação responsável em 6 de setembro de 2023.

"Os invasores poderiam tirar proveito desse acesso para roubar código-fonte, segredos de serviço e chaves privadas, tomar controle sobre agentes de compilação conectados e envenenar artefatos de compilação", disse o pesquisador de segurança da Sonar, Stefan Schiller, em um relatório na semana passada.

A exploração bem sucedida do bug também poderia permitir a atores de ameaças acessar as pipelines de compilação e injetar código arbitrário, levando a uma violação de integridade e comprometimentos na cadeia de fornecimento.

Detalhes adicionais do bug foram retidos devido ao fato de ser trivial de explorar, com a Sonar observando que é provável que seja explorado por atores de ameaças no mundo real.

A JetBrains, em um comunicado independente, recomendou aos usuários que atualizem o mais rápido possível.

Também lançou um plugin de correção de segurança para as versões do TeamCity 8.0 e superiores para endereçar especificamente a falha.

A divulgação ocorre depois que duas falhas de alta severidade foram reconhecidas nos produtos Atos Unify OpenScape que permitem a um invasor de baixo privilégio executar comandos arbitrários do sistema operacional como usuário root ( CVE-2023-36618 ), bem como a um invasor não autenticado para acessar e executar vários scripts de configuração ( CVE-2023-36619 ).

As falhas foram corrigidas pela Atos em julho de 2023.

Nas últimas semanas, a Sonar também publicou detalhes sobre vulnerabilidades críticas de cross-site scripting (XSS) que afetam soluções de email criptografadas, incluindo Proton Mail, Skiff, e Tutanota, que poderiam ter sido utilizadas para roubar emails e se passar pelas vítimas.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...