Vulnerabilidad de omisión de autenticación de JetBrains TeamCity bajo explotación activa

Los exploits disponibles públicamente incitan al caos injustificado Resumen ejecutivo El 4 de marzo de 2024, JetBrains publicó una publicación de blog que detalla el parche de seguridad para TeamCity, que es un servidor de integración y entrega continua (CI/CD) desarrollado por JetBrains y desempeña un papel crucial dentro de las organizaciones. a traves del globo. El proveedor oficial publicó las siguientes correcciones de errores para dos vulnerabilidades de omisión de autenticación (CVE-2024-27198 y CVE-2024-27199). En breve, el equipo de Rapid7 publicó códigos de explotación preliminares para la vulnerabilidad que afecta a TeamCity JetBrains. Sopesando la importancia del producto afectado y la explotación pasada de JetBrains (CVE-2023-42793) por parte del Servicio de Inteligencia Exterior de Rusia (SVR) y dos actores de amenazas de estado-nación de Corea del Norte, Diamond Sleet y Onyx Sleet (que tienen la capacidad de lanzar con éxito ataques a la cadena de suministro), los investigadores de Cyble Research and Intelligence Labs (CRIL) estaban monitoreando activamente la cadena de eventos en la superficie, la red profunda y la red oscura. La investigación llevó a los investigadores de CRIL a observar intentos de explotación activa de CVE-2024-27198 detectados en Cyble Global Sensor Intelligence (CGSI) desde el 5 de marzo de 2024 en adelante. Los investigadores de CRIL también detectaron ciertas actividades clandestinas que indican las secuelas de la explotación de activos de JetBrains sin parches. Detalles de la vulnerabilidad Rapid7 descubrió las vulnerabilidades de omisión de autenticación en febrero de 2024. Las vulnerabilidades CVE-2024-27198 y CVE-2024-27199 se clasifican en las categorías de gravedad crítica y alta, respectivamente. Estas vulnerabilidades afectan a todas las versiones de TeamCity On-Premises anteriores a la versión 2023.11.4. CVE-2024-27198: Una vulnerabilidad de omisión de autenticación en el componente web de las versiones afectadas de TeamCity que surge de un problema de ruta alternativa. Un atacante no autenticado puede crear una URL, eludiendo las comprobaciones de autenticación, lo que le proporciona acceso a puntos finales restringidos. CVE-2024-27199: Una vulnerabilidad de omisión de autenticación en el servidor web TeamCity. Los atacantes no autenticados pueden acceder a un número limitado de puntos finales autenticados debido al problema de recorrido de ruta que afecta las siguientes rutas (que pueden extenderse más allá de estas). /res/ /update/ /.well-known/acme-challenge/ Al utilizar las rutas anteriores y explotar el problema de recorrido de ruta, un atacante puede atravesar hasta un punto final alternativo como: /app/availableRunners /app/https/settings/ setPort /app/https/settings/certificateInfo /app/https/settings/defaultHttpsPort /app/https/settings/fetchFromAcme /app/https/settings/removeCertificate /app/https/settings/uploadCertificate /app/https/settings/termsOfService / app/https/settings/triggerAcmeChallenge /app/https/settings/cancelAcmeChallenge /app/https/settings/getAcmeOrder /app/https/settings/setRedirectStrategy /app/pipeline /app/oauth/space/createBuild.html La explotación de la vulnerabilidad permite la modificación de un número limitado de configuraciones del sistema en el servidor y la divulgación limitada de información confidencial del servidor. TeamCity ha lanzado un parche para mitigar ambas vulnerabilidades. Los clientes también pueden utilizar la opción de actualización automática dentro de TeamCity o el complemento del parche de seguridad como alternativa. Exposición de TeamCity en Internet Durante la publicación del blog, el escáner Odin de Cyble indicó 1.780 instancias de TeamCity expuestas a Internet (como se muestra a continuación). La mayoría de los casos fueron geolocalizados en Estados Unidos, Irlanda y Alemania. Figura 1: Exposición a Internet para TeamCity a través del escáner ODIN **Nota: Los activos expuestos a Internet no indican instancias vulnerables, sino que brindan una vista de la superficie de ataque visible para los atacantes. Hallazgos de Cyble Global Sensor Intelligence Cyble Global Sensor Intelligence (CGSI) observó intentos de explotación de CVE-2024-27198 el 5 de marzo de 2024 en adelante. En una de las instancias capturadas por CGSI, como se muestra en la siguiente figura, un atacante intenta acceder a un punto final autenticado /app/rest/server solicitando un recurso inexistente /hax, agregando una cadena de consulta HTTP ?jsp=/ app/rest/server y, además, garantiza que la ruta URI arbitraria termine en .jsp agregando un segmento de parámetro de ruta HTTP ;.jsp. Figura 2: Captura de pantalla de los intentos de explotación observados a través de la red CGSI. Los actores de amenazas que intentan explotar las vulnerabilidades dentro de las 24 a 48 horas posteriores a su divulgación pública indican que están utilizando pruebas de conceptos y exploits disponibles públicamente. La rápida acción de los actores de amenazas desafía el plazo que normalmente requieren las organizaciones para implementar parches de manera efectiva y enfatizar las contramedidas proactivas. Actividades en la clandestinidad CRIL ha estado destacando el impacto de tales revelaciones de vulnerabilidades, y las TA utilizan la disponibilidad instantánea de sus POC para explotarlos masivamente y obtener acceso inicial a aplicaciones sin parches. En este caso particular, las vulnerabilidades dentro de TeamCity JetBrains han comenzado a mostrar indicios de explotación y venta de acceso comprometida por parte de IAB en el subsuelo. Una publicación reciente de un infame foro sobre ciberdelincuencia indica la rapidez con la que las AT intentan monetizar tales avances en ciberseguridad. Figura 3: Captura de pantalla de TA vendiendo acceso a TeamCity a través de foros clandestinos Conclusión Las vulnerabilidades presentes en TeamCity por parte de JetBrains exigen atención inmediata para parchear, dado que ambas son vulnerabilidades de omisión de autenticación. CVE-2024-27199 tiene el potencial de permitir a los atacantes ejecutar ataques de denegación de servicio en servidores TeamCity y realizar ataques de intermediario en las conexiones de los clientes. Además, CVE-2024-27198 plantea un riesgo importante al permitir un compromiso total de los servidores vulnerables de TeamCity. Los ataques de explotación activos presenciados por Cyble Global Sensor Intelligence, la disponibilidad de códigos de explotación públicos, la presencia de instancias de TeamCity expuestas a Internet y la venta de acceso comprometido a JetBrains a través de foros clandestinos resaltan colectivamente la amenaza surgida por vulnerabilidades recientes. Recomendaciones Es necesario mantener el software, el firmware y las aplicaciones actualizados con los parches y mitigaciones recientes publicados por el proveedor oficial para evitar que los atacantes exploten las vulnerabilidades. Minimice la exposición de la red para todos los dispositivos y/o sistemas del sistema de control implementando una segmentación de red adecuada y asegurándose de que no sean accesibles desde Internet. Las auditorías periódicas, las evaluaciones de vulnerabilidades y los ejercicios de pentesting son clave para abordar las lagunas de seguridad que pueden ser susceptibles a ataques. De forma predeterminada, los archivos de registro de TeamCity se encuentran en C:\TeamCity\logs\ en Windows y /opt/TeamCity/logs/ en Linux, que se pueden utilizar con fines de monitoreo. Indicadores de Compromiso (IOC) Indicadores Tipo de indicador Descripción 143[.]198[.]150[.]42 Dirección IP IP observada intentando explotar CVE-2024-27198 170[.]64[.]155[.]123 Dirección IP IP observada intentando explotar CVE-2024-27198 165[.]22[.]159[.]187 Dirección IP IP observada intentando explotar CVE-2024-27198 192[.]34[.]62[.]65 Dirección IP IP observada intentando explotar CVE-2024-27198 45[.]55[.]194[.]62 Dirección IP IP observada intentando explotar CVE-2024-27198 24[.]144[.]82[.]64 Dirección IP IP observada intentando explotar CVE-2024-27198 167[.]99[.]48[.]60 Dirección IP IP observada intentando explotar CVE-2024-27198 157[.]230[.]15[.]25 Dirección IP IP observada intentando explotar CVE-2024-27198 170[.]64[.]157[.]36 Dirección IP IP observada intentando explotar CVE-2024-27198 170[.]64[.]220[.]72 Dirección IP IP observada intentando explotar CVE-2024-27198 188[.]166[.]148[.]243 Dirección IP IP observada intentando explotar CVE-2024-27198 Enlaces de referencia https://blog.jetbrains.com/teamcity/2024/03/teamcity-2023-11-4-is-out https://blog.jetbrains. com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now https ://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed https: //www.jetbrains.com/privacy-security/issues-fixed https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting -the-teamcity-cve-2023-42793-vulnerability/ https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a Relacionado

Source link