Сегодня JetBrains настоятельно призвала клиентов исправить на своих локальных серверах TeamCity критическую уязвимость обхода аутентификации, которая может позволить злоумышленникам завладеть уязвимыми экземплярами с правами администратора. Отслеживаемый как CVE-2024-23917, этот критический недостаток влияет на все локальные версии TeamCity с 2017.1 по 2023.11.2 и может быть использован при атаках удаленного выполнения кода (RCE), которые не требуют взаимодействия с пользователем. "Мы настоятельно рекомендуем всем локальным пользователям TeamCity обновить свои серверы до версии 2023.11.3, чтобы устранить уязвимость", - заявили в JetBrains.
"Если ваш сервер общедоступен через Интернет и вы не можете немедленно предпринять одно из вышеуказанных действий по устранению неполадок, мы рекомендуем временно сделать его недоступным до завершения действий по устранению неполадок".
Клиенты, которые не могут выполнить немедленное обновление, также могут использовать плагин исправления безопасности для защиты серверов под управлением TeamCity 2018.2+ и TeamCity 2017.1, 2017.2 и 2018.1. В то время как компания заявляет, что все облачные серверы TeamCity были исправлены и нет никаких доказательств того, что они подверглись атаке, еще предстоит выяснить, был ли CVE-2024-23917 нацелен на взлом локальных серверов TeamCity, подключенных к Интернету.
Shadowserver отслеживает более 2000 серверов TeamCity, открытых онлайн, хотя нет возможности узнать, сколько из них уже исправлено.
Аналогичный недостаток обхода аутентификации, отслеживаемый как CVE-2023-42793, был использован хакерской группой APT29, связанной со Службой внешней разведки России (СВР), в широкомасштабных атаках RCE с сентября 2023 года. "Решив использовать CVE-2023-42793, программу разработки программного обеспечения, агентства-разработчики оценивают, что SVR может извлечь выгоду из доступа к жертвам, в частности, позволяя злоумышленникам компрометировать сети десятков разработчиков программного обеспечения", - предупредила CISA.
С начала октября несколько банд вымогателей использовали одну и ту же уязвимость для взлома корпоративных сетей. По данным Microsoft, северокорейские хакерские группы Lazarus и Andariel также использовали эксплойты CVE-2023-42793 для взлома сетей жертв, вероятно, в рамках подготовки к атакам на цепочки поставок программного обеспечения.
JetBrains сообщает, что более 30 000 организаций по всему миру используют платформу для разработки и тестирования программного обеспечения TeamCity, включая такие известные компании, как Citibank, Ubisoft, HP, Nike и Ferrari.
Source: https://www.bleepingcomputer[.]com/news/security/jetbrains-warns-of-new-teamcity-auth-bypass-vulnerability
"Если ваш сервер общедоступен через Интернет и вы не можете немедленно предпринять одно из вышеуказанных действий по устранению неполадок, мы рекомендуем временно сделать его недоступным до завершения действий по устранению неполадок".
Клиенты, которые не могут выполнить немедленное обновление, также могут использовать плагин исправления безопасности для защиты серверов под управлением TeamCity 2018.2+ и TeamCity 2017.1, 2017.2 и 2018.1. В то время как компания заявляет, что все облачные серверы TeamCity были исправлены и нет никаких доказательств того, что они подверглись атаке, еще предстоит выяснить, был ли CVE-2024-23917 нацелен на взлом локальных серверов TeamCity, подключенных к Интернету.
Shadowserver отслеживает более 2000 серверов TeamCity, открытых онлайн, хотя нет возможности узнать, сколько из них уже исправлено.
Аналогичный недостаток обхода аутентификации, отслеживаемый как CVE-2023-42793, был использован хакерской группой APT29, связанной со Службой внешней разведки России (СВР), в широкомасштабных атаках RCE с сентября 2023 года. "Решив использовать CVE-2023-42793, программу разработки программного обеспечения, агентства-разработчики оценивают, что SVR может извлечь выгоду из доступа к жертвам, в частности, позволяя злоумышленникам компрометировать сети десятков разработчиков программного обеспечения", - предупредила CISA.
С начала октября несколько банд вымогателей использовали одну и ту же уязвимость для взлома корпоративных сетей. По данным Microsoft, северокорейские хакерские группы Lazarus и Andariel также использовали эксплойты CVE-2023-42793 для взлома сетей жертв, вероятно, в рамках подготовки к атакам на цепочки поставок программного обеспечения.
JetBrains сообщает, что более 30 000 организаций по всему миру используют платформу для разработки и тестирования программного обеспечения TeamCity, включая такие известные компании, как Citibank, Ubisoft, HP, Nike и Ferrari.
Source: https://www.bleepingcomputer[.]com/news/security/jetbrains-warns-of-new-teamcity-auth-bypass-vulnerability