Resumen ejecutivo
El 4 de marzo de 2024, JetBrains publicó una publicación de blog que detalla el parche de seguridad para TeamCity, que es un servidor de integración y entrega continua (CI/CD) desarrollado por JetBrains y desempeña un papel crucial en las organizaciones de todo el mundo.
El proveedor oficial publicó las siguientes correcciones de errores para dos vulnerabilidades de omisión de autenticación (CVE-2024-27198 y CVE-2024-27199). En breve, el equipo de Rapid7 publicó códigos de explotación preliminares para la vulnerabilidad que afecta a TeamCity JetBrains.
Sopesando la importancia del producto afectado y la explotación pasada de JetBrains (CVE-2023-42793) por parte del Servicio de Inteligencia Exterior de Rusia (SVR) y dos actores de amenazas de estado-nación de Corea del Norte, Diamond Sleet y Onyx Sleet (que tienen la capacidad de lanzar con éxito ataques a la cadena de suministro), los investigadores de Cyble Research and Intelligence Labs (CRIL) estaban monitoreando activamente la cadena de eventos en la superficie, la red profunda y la red oscura. La investigación llevó a los investigadores de CRIL a observar intentos de explotación activa de CVE-2024-27198 detectados en Cyble Global Sensor Intelligence (CGSI) desde el 5 de marzo de 2024 en adelante.
Los investigadores de CRIL también detectaron ciertas actividades clandestinas que indican las secuelas de la explotación de activos de JetBrains sin parches.
Detalles de vulnerabilidad
Rapid7 descubrió las vulnerabilidades de omisión de autenticación en febrero de 2024. Las vulnerabilidades CVE-2024-27198 y CVE-2024-27199 se clasifican en las categorías de gravedad crítica y alta, respectivamente. Estas vulnerabilidades afectan a todas las versiones de TeamCity On-Premises anteriores a la versión 2023.11.4.
CVE-2024-27198: Una vulnerabilidad de omisión de autenticación en el componente web de las versiones afectadas de TeamCity que surge de un problema de ruta alternativa. Un atacante no autenticado puede crear una URL, eludiendo las comprobaciones de autenticación, lo que le proporciona acceso a puntos finales restringidos.
CVE-2024-27199: Una vulnerabilidad de omisión de autenticación en el servidor web TeamCity. Los atacantes no autenticados pueden acceder a un número limitado de puntos finales autenticados debido al problema de recorrido de ruta que afecta las siguientes rutas (que pueden extenderse más allá de estas).
/res/
/update/
/.well-known/acme-challenge/ Al utilizar las rutas anteriores y explotar el problema de recorrido de ruta, un atacante puede atravesar hasta un punto final alternativo como por ejemplo:
/app/availableRunners
/app/https/settings/setPort
/app/https/settings/certificateInfo
/app/https/settings/defaultHttpsPort
/app/https/settings/fetchFromAcme
/app/https/settings/removeCertificate
/app/https/settings/uploadCertificate
/app/https/settings/termsOfService
/app/https/settings/triggerAcmeChallenge
/app/https/settings/cancelAcmeChallenge
/app/https/settings/getAcmeOrder
/app/https/settings/setRedirectStrategy
/app/pipeline
/app/oauth/space/createBuild.html La explotación de la vulnerabilidad permite la modificación de un número limitado de configuraciones del sistema en el servidor y la divulgación limitada de información confidencial del servidor.
TeamCity ha lanzado un parche para mitigar ambas vulnerabilidades. Los clientes también pueden utilizar la opción de actualización automática dentro de TeamCity o el complemento del parche de seguridad como alternativa.
Exposición en Internet de TeamCity
Durante la publicación del blog, Odin Scanner de Cyble indicó 1.780 instancias de TeamCity expuestas a Internet (como se muestra a continuación). La mayoría de los casos fueron geolocalizados en Estados Unidos, Irlanda y Alemania.
Cifra 1 – Exposición a Internet para TeamCity a través del escáner ODIN
**Nota: Los activos expuestos en Internet no indican instancias vulnerables, sino que brindan una vista de la superficie de ataque visible para los atacantes.
Hallazgos de inteligencia de sensores globales de Cyble
Cyble Global Sensor Intelligence (CGSI) observó intentos de explotación de CVE-2024-27198 el 5 de marzo de 2024 en adelante. En una de las instancias capturadas por CGSI, como se muestra en la siguiente figura, un atacante intenta acceder a un punto final autenticado /app/rest/server solicitando un recurso inexistente /hax, agregando una cadena de consulta HTTP ?jsp=/ app/rest/server y, además, garantizar que la ruta URI arbitraria termine con .jsp agregando un segmento de parámetro de ruta HTTP ;.jsp.
Cifra 2 – Captura de pantalla de los intentos de explotación observados a través de la red CGSI
Los actores de amenazas que intentan explotar las vulnerabilidades dentro de las 24 a 48 horas posteriores a su divulgación pública indican que están utilizando pruebas de conceptos y exploits disponibles públicamente. La rápida acción de los actores de amenazas desafía el plazo que normalmente requieren las organizaciones para implementar parches de manera efectiva y enfatizar las contramedidas proactivas.
Actividades en el metro
CRIL ha estado destacando el impacto de tales revelaciones de vulnerabilidades, y las TA utilizan la disponibilidad instantánea de sus POC para explotarlas masivamente y obtener acceso inicial a aplicaciones sin parches.
En este caso particular, las vulnerabilidades dentro de TeamCity JetBrains han comenzado a mostrar indicios de explotación y venta de acceso comprometida por parte de IAB en el subsuelo.
Una publicación reciente de un infame foro sobre ciberdelincuencia indica la rapidez con la que las AT intentan monetizar tales avances en ciberseguridad.
Cifra 3 – Captura de pantalla de TA vendiendo acceso a TeamCity a través de foros clandestinos
Conclusión
Las vulnerabilidades presentes en TeamCity de JetBrains exigen atención inmediata para parchearlas, dado que ambas son vulnerabilidades de omisión de autenticación. CVE-2024-27199 tiene el potencial de permitir a los atacantes ejecutar ataques de denegación de servicio en servidores TeamCity y realizar ataques de intermediario en las conexiones de los clientes. Además, CVE-2024-27198 plantea un riesgo importante al permitir un compromiso total de los servidores vulnerables de TeamCity.
Los ataques de explotación activos presenciados por Cyble Global Sensor Intelligence, la disponibilidad de códigos de explotación públicos, la presencia de instancias de TeamCity expuestas a Internet y la venta de acceso comprometido a JetBrains a través de foros clandestinos resaltan colectivamente la amenaza surgida por vulnerabilidades recientes.
Recomendaciones
- Es necesario mantener el software, el firmware y las aplicaciones actualizados con los parches y mitigaciones recientes publicados por el proveedor oficial para evitar que los atacantes aprovechen las vulnerabilidades.
- Minimice la exposición de la red para todos los dispositivos y/o sistemas del sistema de control implementando una segmentación de red adecuada y asegurándose de que no sean accesibles desde Internet.
- Las auditorías periódicas, las evaluaciones de vulnerabilidades y los ejercicios de pentesting son clave para abordar las lagunas de seguridad que pueden ser susceptibles a ataques.
- De forma predeterminada, los archivos de registro de TeamCity se encuentran en C:\TeamCity\logs\ en Windows y /opt/TeamCity/logs/ en Linux, que se pueden utilizar con fines de monitoreo.
Indicadores de compromiso (IOC)
| Indicadores | Tipo de indicador | Descripción |
| 143[.]198[.]150[.]42 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 170[.]64[.]155[.]123 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 165[.]22[.]159[.]187 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 192[.]34[.]62[.]sesenta y cinco | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 45[.]55[.]194[.]62 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 24[.]144[.]82[.]64 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 167[.]99[.]48[.]60 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 157[.]230[.]15[.]25 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 170[.]64[.]157[.]36 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 170[.]64[.]220[.]72 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
| 188[.]166[.]148[.]243 | Dirección IP | IP observada intentando explotar CVE-2024-27198 |
Enlaces de referencia
https://blog.jetbrains.com/teamcity/2024/03/teamcity-2023-11-4-is-out
https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to- 2023-11-4-ahora
https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed
https://www.jetbrains.com/privacy-security/issues-fixed
Multiple North Korean threat actors exploiting the TeamCity CVE-2023-42793 vulnerability
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-347a
Relacionado
Fuente Original Cyble
