Gangues de ransomware agora estão mirando uma vulnerabilidade crítica recentemente corrigida no servidor de integração e implantação contínua TeamCity da JetBrains.
A falha (rastreada como
CVE-2023-42793
e marcada com uma pontuação de gravidade de 9.8/10) permite que invasores não autenticados obtenham execução remota de código (RCE) após explorar com sucesso uma falha de autenticação em ataques de baixa complexidade que não requerem interação do usuário.
A empresa de segurança suíça Sonar (cuja equipe de pesquisadores descobriu e relatou a vulnerabilidade) publicou detalhes técnicos completos uma semana após a JetBrains resolver o problema crítico de segurança com o lançamento do TeamCity 2023.05.4 em 21 de setembro.
A JetBrains diz que a falha afeta todas as versões do TeamCity anteriores ao lançamento corrigido, mas apenas os servidores On-Premises instalados no Windows, Linux e macOS, ou que rodam em Docker.
"Isto permite aos invasores não apenas roubar código fonte, mas também segredos de serviço armazenados e chaves privadas", explicou o pesquisador de vulnerabilidades da Sonar, Stefan Schiller.
"E é ainda pior: com acesso ao processo de construção, os invasores podem injetar código malicioso, comprometendo a integridade das liberações de software e afetando todos os usuários downstream".
Pesquisadores de segurança da organização sem fins lucrativos de segurança na Internet, Shadowserver Foundation, encontraram 1240 servidores TeamCity não corrigidos vulneráveis a ataques.
Poucos dias depois de Sonar publicar seu post no blog, vários invasores começaram a explorar esta falha crítica de autenticação, de acordo com as empresas de inteligência de ameaças GreyNoise e PRODAFT.
PRODAFT disse que várias operações de ransomware já adicionaram exploits
CVE-2023-42793
ao seu arsenal e estão usando-os para violar servidores TeamCity vulneráveis.
"Muitos grupos populares de ransomware começaram a armar o
CVE-2023-42793
e adicionaram a fase de exploração em seu fluxo de trabalho", alertou a PRODAFT no fim de semana.
"Nossa plataforma BLINDSPOT detectou várias organizações já exploradas por atores de ameaças nos últimos três dias.
Infelizmente, a maioria deles terá uma grande dor de cabeça nas próximas semanas".
Ataques originários de pelo menos 56 endereços IP diferentes foram vistos pela GreyNoise mirando ativamente em servidores JetBrains TeamCity expostos à Internet em esforços concertados para infiltrar instalações não corrigidas.
Dois dias antes, GreyNoise advertiu a todas as organizações que não conseguiram corrigir seus servidores antes de 29 de setembro, que há uma alta probabilidade de seus sistemas já terem sido comprometidos.
A JetBrains diz que sua plataforma de automação de construção e teste de software TeamCity é usada por desenvolvedores em mais de 30.000 organizações em todo o mundo, incluindo Citibank, Ubisoft, HP, Nike e Ferrari.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...