Los ciberdelincuentes pueden explotar una vulnerabilidad en el servidor de integración y entrega continua (CI/CD) de JetBrains, TeamCity, para obtener control administrativo.
JetBrains ha corregido una vulnerabilidad crítica de seguridad en su servidor TeamCity On-Premises que puede permitir a atacantes remotos no autenticados obtener control sobre el servidor afectando y usarlo para realizar actividades maliciosas adicionales dentro del entorno de una organización.
TeamCity es una plataforma de gestión del ciclo de vida del desarrollo de software (SDLC) que utilizan alrededor de 30,000 organizaciones, incluidas marcas importantes como Citibank, Nike y Ferrari, para automatizar procesos de construcción, prueba e implementación de software. Por lo tanto, alberga una gran cantidad de datos que pueden ser útiles para los atacantes, incluido código fuente y certificados de firma, también podría permitir la manipulación, incluido código fuente y certificados de firma, y también podría permitir la manipulación de versiones compiladas de software o procesos de implementación.
La falla, identificada como CVE-2024-23917, presenta la debilidad CWE-288, que es un bypass de autenticación utilizando una ruta o canal alternativo. JetBrains identificó la falla el 19 de enero; afecta a todas las versiones desde 2027.1 hasta 2023.11.2 de su servidor TeamCity On-Premises, y ha parcheado sus propios servidores TeamCity Cloud. La compañía también verificó que sus propios servidores no fueron atacados.
Historial de Explotación de TeamCity
De hecho, las fallas de Team City On-Premises no deben de tomarse a la ligera, ya que la última falla importante descubierta en el producto desató una pesadilla de seguridad global cuando varios actores respaldados por el estado la atacaron para llevar a cabo una serie de comportamientos maliciosos.
En ese caso, un exploit de prueba de concepto (PoC) público para una falla crítica de ejecución remota de código (RCE) rastreada como CVE-2023-42793, encontrada por JetBrains y parcheada el pasado 30 de septiembre, provocó una explotación casi inmediata por parte de dos grupos de amenazas respaldados por Corea del Norte rastreados por Microsoft como Diamond Sleet y Onyx Sleet. Los grupos explotaron la falla para instalar backdoors y otros implantes para llevar a cabo una amplia gama de actividades maliciosas, incluido el ciberespionaje, robo de datos y ataque con motivación financiera.
Luego, en diciembre, APT29 (también conocido como CozyBear, Los Dukes, Midnight Blizzard o Nobelium), el conocido grupo de amenazas ruso detrás del hackeo de SolarWinds en 2020, también aprovechó la falla. En una actividad rastreada por CISA, el FBI y la NASA, entre otros, el APT atacó servidores vulnerables, utilizando la vulnerabilidad para obtener acceso inicial, escalar privilegios, moverse lateralmente, desplegar puertas traseras adicionales y tomar otras medidas para asegurar un acceso persistente y a largo plazo a los entornos de red comprometidos.
Se recomienda actualización o mitigación alternativa.
Esperando evitar un escenario similar con su última falla, JetBrains instó a cualquier persona con productos afectados en su entorno o a actualizar de inmediato a la versión parcheada.
Si esto no es posible, JetBrains también lanzó un complemento de parche de seguridad que está disponible para su descarga e instalación en las versiones de TeamCity de 2017.1 a 2023.11.2 que solucionará el problema. La compañía también publicó instrucciones de instalación en línea para el complemento para ayudar a los clientes a mitigar el problema.
Sin embargo, TeamCity enfatizó que el complemento de parche de seguridad solo abordará la vulnerabilidad y no proporcionará otras correcciones, por lo que se recomienda encarecidamente instalar la última versión de TeamCity On-Premises “para beneficiarse de muchas otras actualizaciones de seguridad”.
Además, si una organización tiene un servidor afectando que es accesible públicamente a través de Internet y no puede tomar ninguna de esas medidas de mitigación, JetBrains recomendó que el servidor sea inaccesible hasta que se pueda mitigar la falla.