Дата публикации:
4 марта 2024 года специалистами центра исследований кибербезопасности Rapid7 было опубликовано подробное исследование уязвимости сервера сборки JetBrains TeamCity, зарегистрированной под идентификатором CVE-2024-27198 и присвоенным рейтингом CVSS в 9,8 баллов (критический). Через данную уязвимость удаленный неаутентифицированный злоумышленник может полностью скомпрометировать уязвимый сервер TeamCity. Компрометация сервера позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами в TeamCity. Так же в данном исследовании продемонстрирована возможность удаленного выполнения команд на уязвимом сервере TeamCity.
Эксплуатация данной уязвимости заключается в обращении к аутентифицированным конечным точкам веб-сервера TeamCity с помощью специально созданного HTTP(S)-запроса. Благодаря этому запросу злоумышленник может успешно обращаться к закрытым ресурсам сервера без аутентификации, например, создать учетную запись администратора через конечную точку `/app/rest/users` в REST API.
3 марта 2024 года компания JetBrains выпустила обновление TeamCity 2023.11.4, в которое входит исправление CVE-2024-27198. Данная уязвимость затрагивает все версии TeamCity до 2023.11.4.
Рейтинг
В соответствии с CVSSv3.1 уязвимости присвоен рейтинг: 9,8.
Уязвимые версии и продукты
- JetBrains TeamCity (до версии 2023.11.4).
Рекомендации
Если в вашей инфраструктуре используется данное ПО, специалисты Центра мониторинга и реагирования рекомендуют пользователям следующие действия:
1. Обновить сервер TeamCity до версии 2023.11.4, в которой устранена данная уязвимость. Более подробная информация о том, как получить обновление, можно найти в блоге компании JetBrains.
2. Проверить актуальность подписки на модуль Security updates.
3. Добавить в блокирующее правило IDPS следующие сигнатуры: JetBrains TeamCity server auth bypass via alternative path.