.
A JetBrains está incentivando todos os usuários do TeamCity (no local) a atualizar para a versão mais recente após a divulgação de uma vulnerabilidade crítica na ferramenta CI/CD.
Rastreada como CVE-2024-23917, a vulnerabilidade recebeu uma pontuação CVSS provisória de 9,8 e permite que invasores remotos não autenticados assumam o controle de servidores vulneráveis com privilégios de administrador.
“Todas as versões de 2017.1 a 2023.11.2 são afetadas por este problema”, disse Daniel Gallo, engenheiro de soluções da JetBrains, em um comunicado. “O problema foi corrigido em 2023.11.3. Recomendamos a atualização o mais rápido possível.”
A vulnerabilidade requer atenção apenas dos administradores de servidores locais, uma vez que o TeamCity Cloud já foi corrigido. A JetBrains também confirmou que nenhum ataque foi detectado contra o TeamCity Cloud, mas não fez tais afirmações sobre o produto local.
A correção pode ser realizada baixando a versão mais recente, usando o recurso de atualização automática do próprio TeamCity ou usando o plugin de patch de segurança que aborda apenas CVE-2024-23917.
JetBrains disse que é sempre melhor apenas atualizar todo o servidor – já que os usuários receberão todas as outras correções de segurança que vêm com ele – em vez de apenas corrigir uma única vulnerabilidade.
Se, por qualquer motivo, algum dos patches ou mitigações não puder ser aplicado imediatamente, é recomendado que os servidores TeamCity voltados ao público fiquem inacessíveis até que a falha crítica seja resolvida.
A divulgação ocorre poucos meses depois de ter sido revelado que invasores patrocinados pelo Estado da Rússia e da Coreia do Norte tinham como alvo separadamente os servidores TeamCity vulneráveis a uma falha semelhante anunciada em setembro.
CVE-2023-42793 também registrou uma pontuação de gravidade de 9,8 e a atividade de unidades cibernéticas ofensivas estrangeiras levou as principais autoridades ocidentais a emitir um aviso, pedindo uma correção rápida.
Não houve evidências que sugerissem que o acesso que os invasores tiveram foi usado para estabelecer as bases para um ataque do tipo SolarWinds, que é sempre o medo quando há relatos de comprometimentos de CI/CD.
Em vez disso, o Serviço de Inteligência Estrangeiro (SVR) da Rússia explorou a vulnerabilidade para se mover lateralmente pelas redes das vítimas e instalar backdoors para facilitar ataques subsequentes.
O SVR usou o backdoor GraphicalProton em ataques conduzidos por um MO que não parece ter mudado muito nos últimos dez anos. A Rússia é bem conhecida pela sua propensão para roubar informações sensíveis e confidenciais em operações cibernéticas ofensivas. ®
.
