Vulnerabilità critiche su JetBrains TeamCity
03/13/2024
PROTO: N240313
CERT-Yoroi informa che sono state rese note due vulnerabilità critiche su JetBrains TeamCity che consentono agli aggressori remoti l’esecuzione di codice arbitrario e la manipolazione di file sui server interessati.
JetBrains TeamCity è una piattaforma di Continuous Integration e Continuous Deployment (CI/CD) progettata per automatizzare e gestire in modo efficiente il processo di sviluppo software. Utilizza un'architettura client-server per gestire la compilazione del codice sorgente, l'esecuzione dei test e la distribuzione del software in ambienti di sviluppo, test e produzione.
Nello specifico, all’interno del security advisory pubblicato dal vendor, vengono elencate le due vulnerabilità critiche di tipo “Authentication Bypass” che si strutturano nel seguente modo:
- CVE-2024-27198: vulnerabilità di “Authentication Bypass” nel componente Web di TeamCity generato da un problema di “alternative path“ (CWE-288) con score CVSS v3.x pari a 9.8 (Critico);
- CVE-2024-27199: vulnerabilità di “Authentication Bypass” nel componente Web di TeamCity causato da un problema di “path traversal“ (CWE-22) con punteggio CVSS v3.x di 7,3 (Alto).
La vulnerabilità più grave è la CVE-2024-27198, la quale consente sia la compromissione completa, e potenzialmente abilita il pieno controllo su tutti i projects, build, agent e artefatti di TeamCity e come tale può rappresentare un vettore per eseguire un supply chain attack.
Negli ultimi giorni, inoltre, è stato rilevato lo sfruttamento attivo delle vulnerabilità in oggetto. In particolare, la gang ransomware BianLian ha ottenuto l'accesso iniziale ad un obiettivo sfruttando le vulnerabilità presenti in un server TeamCity.
Jetbrains ha risolto i problemi di sicurezza che affliggono i server interessati con l’update rilasciato il 4 marzo ed identificato nella versione 2023.11.4 disponibile tramite il portale ufficiale di download del vendor. In alternativa è possibile utilizzare l'opzione di aggiornamento automatico di TeamCity.
In caso non si riesce ad aggiornare i server alla versione 2023.11.4, il vendor ha rilasciato un security patch plugin permettendo comunque l'applicazione della patch nell'ambiente. Il security patch plugin può essere scaricato utilizzando uno dei seguenti collegamenti e installarlo su tutte le versioni di TeamCity fino alla 2023.11.3:
- security patch plugin: TeamCity 2018.2 e versioni successive | TeamCity 2018.1 e versioni precedenti
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
Riferimenti esterni
- https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/
- https://www.bleepingcomputer.com/news/security/exploit-available-for-new-critical-teamcity-auth-bypass-bug-patch-now/
- https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/
- https://www.bleepingcomputer.com/news/security/teamcity-auth-bypass-bug-exploited-to-mass-generate-admin-accounts/
- https://securityaffairs.com/160357/hacking/bianlian-group-ttack-jetbrains-teamcity.html
- https://www.guidepointsecurity.com/blog/bianlian-gos-for-powershell-after-teamcity-exploitation/
IOCs
INDICATOR | TYPE | DESCRIPTION |
web.ps1 | Filename | PowerShell Implementation of BianLian GO Backdoor |
136[.]0[.]3[.]71 | IP Address | BianLian C2 Infrastructure |
88[.]169[.]109[.]111 | IP Address | IP Address associated with malicious authentication to TeamCity |
165[.]227[.]151[.]123 | IP Address | IP Address associated with malicious authentication to TeamCity |
77[.]75[.]230[.]164 | IP Address | IP Address associated with malicious authentication to TeamCity |
164[.]92[.]243[.]252 | IP Address | IP Address associated with malicious authentication to TeamCity |
64[.]176[.]229[.]97 | IP Address | IP Address associated with malicious authentication to TeamCity |
164[.]92[.]251[.]25 | IP Address | IP Address associated with malicious authentication to TeamCity |
126[.]126[.]112[.]143 | IP Address | IP Address associated with malicious authentication to TeamCity |
38[.]207[.]148[.]147 | IP Address | IP Address associated with malicious authentication to TeamCity |
101[.]53[.]136[.]60 | IP Address | IP Address associated with malicious |
188[.]166[.]236[.]38 | IP Address | IP Address associated with malicious authentication to TeamCity |
185[.]174[.]137[.]26 | IP Address | IP Address associated with malicious authentication to TeamCity |
977ff17cd1fbaf0753d4d5aa892af7aa | MD5 | Web.ps1 |
1af5616fa3b4d2a384000f83e450e4047f04cb57 | SHA1 | Web.ps1 |
7981cdb91b8bad8b0b894cfb71b090fc9773d830fe110bd4dd8f52549152b448 | SHA256 | Web.ps1 |
hxxp://136[.]0[.]3[.]71:8001/win64.exe | URL | BianLian C2 Infrastructure |
hxxp://136[.]0[.]3[.]71:8001/64.dll | URL | BianLian C2 Infrastructure |