Ataques dirigidos a dos vulnerabilidades de seguridad en la plataforma TeamCity CI/CD han comenzado en serio pocos días después de que su desarrollador, JetBrains, revelara las fallas el 3 de marzo.
Los ataques incluyen al menos una campaña para distribuir ransomware y otra en la que un actor de amenazas parece estar creando usuarios administradores en instancias vulnerables de TeamCity para un posible uso futuro.
Una de las vulnerabilidades (identificada como CVE-2024-27198) tiene una calificación CVSS de gravedad casi máxima de 9,8 sobre 10 y es un problema de omisión de autenticación en el componente web de TeamCity. Los investigadores de Rapid7 que descubrieron la vulnerabilidad y la informaron a JetBrains la describieron como permitir que un atacante remoto no autenticado ejecute código arbitrario para tomar el control total de las instancias afectadas.
CVE-2024-27199La otra vulnerabilidad que JetBrains reveló es una falla de omisión de autenticación de gravedad moderada en el mismo componente web TeamCity. Permite una “cantidad limitada” de divulgación de información y modificación del sistema, según Rapid7.
Desarrolladores de TeamCity: un objetivo valioso para los atacantes
Unas 30.000 organizaciones utilizan TeamCity para automatizar los procesos de creación, prueba e implementación de proyectos de software en entornos CI/CD. Al igual que otras fallas recientes de TeamCity, como CVE-2024-23917 en febrero de 2024, y CVE-2023-42793que el grupo ruso Midnight Blizzard utilizó en ataques el año pasado (también es conocido por los infames ataques a la cadena de suministro de SolarWinds), los dos nuevos han avivado una preocupación considerable.
Las preocupaciones tienen que ver con la posibilidad de que los atacantes abusen de las fallas para tomar el control de las compilaciones de software de una organización y los proyectos a lanzar. ataques masivos a la cadena de suministro.
“Los atacantes se están dando cuenta de que herramientas como TeamCity para la implementación de configuraciones son una manera fácil de propagar rápidamente código malicioso”, afirma Greg Fitzgerald, cofundador de Sevco Security. Muchos también utilizan herramientas confiables como TeamCity para permitir el movimiento lateral a gran escala, afirma.
Stephen Fewer, investigador principal de seguridad de Rapid7, dice que armado con las nuevas vulnerabilidades, un atacante puede usar motores de búsqueda como Shodan y FOFA para localizar servidores TeamCity expuestos. Una advertencia es que hay una gran cantidad de servidores honeypot que se hacen pasar por servidores TeamCity, por lo que los malos actores podrían necesitar hacer un trabajo adicional para encontrar instancias legítimas, dice.
La explotación después del descubrimiento es trivial, dice Fewer. “CVE-2024-27198 se puede aprovechar mediante una única solicitud HTTP”, afirma. Esto permite que “un atacante cree una nueva cuenta de usuario administrador o un token de acceso en el sistema, y desde allí el atacante puede aprovechar esto para apoderarse completamente del servidor, incluida la ejecución remota de código”. [RCE] en el sistema operativo de destino.”
Al crear una nueva cuenta de administrador en una instancia vulnerable, un atacante puede potencialmente acceder y modificar todos los recursos que administran las instancias de TeamCity, incluidos proyectos, agentes de compilación y artefactos.
“Otra vía que puede emplear el atacante es aprovechar su acceso para ejecutar comandos arbitrarios en el sistema operativo subyacente para tomar control total sobre el servidor”, dice Fewer. Una forma de hacerlo es implementar un complemento malicioso de TeamCity que aloje una carga útil a elección del atacante. Otra opción es aprovechar una API REST con fines de depuración que está disponible en algunas versiones de TeamCity para ejecutar comandos en el sistema operativo. “A partir de aquí, el ataque puede penetrar más profundamente en la red del objetivo o establecer persistencia en el servidor comprometido para mantener el acceso”, dice Fewer.
Amenazas de alta gravedad de JetBrains TeamCity
El 5 de marzo, el director del grupo de búsqueda de amenazas de CrowdStrike informó haber observado múltiples casos en los que un actor de amenazas había explotó los dos defectos desplegar lo que parecía ser una versión modificada de Jazmínuna herramienta de código abierto que los evaluadores del equipo rojo pueden utilizar para simular un ataque de ransomware real. Sus responsables han descrito a Jasmin como un clon de WannaCry.
Por otra parte, LeakIX, un sitio que agrega datos sobre violaciones y fugas, informó haber detectado algunos 1.711 instancias expuestas de TeamCity en la Web, de los cuales 1.442 mostraban signos de que alguien había creado cuentas de usuarios fraudulentas a través de CVE-2024-27198. “Si estaba o todavía está ejecutando un sistema vulnerable, asuma un compromiso”, señaló LeakIX en X, la plataforma anteriormente conocida como Twitter.
Mientras tanto, el sitio sin fines de lucro de monitoreo de Internet ShadowServer.org informó haber observado actividad de explotación para CVE-2024-27198 a partir del 4 de marzo, un día después de que JetBrains revelara la falla.
“Si ejecuta JetBrains TeamCity localmente, ¡asegúrese de aplicar el parche para las últimas vulnerabilidades CVE-2024-27198 (omisión de autenticación remota) y CVE-2024-27199 AHORA!”, advirtió Shadowserver. La organización de inteligencia sobre amenazas cibernéticas basada en voluntarios informó haber detectado 1.182 instancias de TeamCity, algunos de los cuales podrían tener ya un parche. Identificó a los principales países afectados como Estados Unidos con 298 casos y Alemania con 188.
Fuente Original darkreading
