0
0
A empresa de desenvolvimento de software JetBrains corrigiu uma vulnerabilidade crítica (CVE-2023-42793) em sua solução TeamCity de integração e entrega contínua ( CI/CD ), que pode permitir que invasores autenticados obtenham execução remota de código e obtenham controle do servidor.
“Em 25 de setembro de 2023, o Rapid7 não tinha conhecimento da exploração selvagem de CVE-2023-42793 e nenhum código de exploração público estava disponível”, compartilhou Caitlin Condon, chefe de pesquisa de vulnerabilidades do Rapid7.
Sobre CVE-2023-42793
CVE-2023-42793 é uma vulnerabilidade de desvio de autenticação que afeta as versões 2023.05.3 e anteriores do TeamCity On-Premises.
De acordo com Stefan Schiller, pesquisador de segurança do Sonar que relatou a falha, os invasores não precisam depender da interação do usuário para acioná-la.
“[A vulnerabilidade] permite que os invasores não apenas roubem código-fonte, mas também armazenem segredos de serviço e chaves privadas. E é ainda pior: com acesso ao processo de construção, os invasores podem injetar código malicioso, comprometendo a integridade das versões de software e impactando todos os usuários downstream”, acrescentou Shiller .
Atualize, corrija ou bloqueie o acesso da Internet ao servidor
CVE-2023-42793 foi corrigido na versão 2023.05.4 do TeamCity On-Premises.
Os clientes que não conseguirem atualizar para ele podem implementar um patch, mas devem saber que o patch corrige apenas essa falha. Os usuários que executam o TeamCity 2018.2 e posteriores não precisarão reiniciar o servidor para habilitar o plug-in depois de instalado, mas aqueles que executam as versões 8.0 a 2018.1 devem reiniciar o servidor.
“Embora não divulguemos detalhes técnicos neste momento, queremos enfatizar a importância de uma ação imediata para mitigar esse risco. Como esta vulnerabilidade não requer uma conta válida na instância de destino e é trivial de explorar, é provável que esta vulnerabilidade seja explorada em estado selvagem”, comentou Schiller, e observou que Shodan mostra atualmente mais de 3.000 servidores TeamCity locais acessíveis da internet.
Caso a atualização ou instalação do patch não possa ser feita imediatamente, os usuários devem mitigar o risco de exploração tornando seu servidor temporariamente inacessível.
ATUALIZAÇÃO (28 de setembro de 2023, 05h40 horário do leste dos EUA):
Rapid7 publicou uma análise técnica da vulnerabilidade e compartilhou possíveis indicadores de comprometimento.
ATUALIZAÇÃO (29 de setembro de 2023, 08h55 horário do leste dos EUA):
Greynoise está rastreando muitos endereços IP a partir dos quais estão sendo feitas tentativas de exploração CVE-2023-42793.
FONTE: HELP NET SECURITY