Bilgisayar korsanları, Jetbrains'in Pazartesi günü bir güncellemede ele aldığı TeamCity şirketinde kritik-vahşi kimlik doğrulama baypas güvenlik açığından (CVE-2024-27198) kullanmaya başladı.
Sömürü büyük görünmektedir, yüzlerce yeni kullanıcı, kamu ağında maruz kalan TeamCity örneklerinde yaratılmıştır.
Maruz kalan cihaz yanlış yakınlaştırmaları ve güvenlik açıkları için bir arama motoru olan Leakix, BleepingComputer'a 1.700'den fazla TeamCity sunucusunun henüz düzeltmeyi almadığını söyledi.
Leakix tarafından endekslenen savunmasız ev sahiplerinin çoğu Almanya, Amerika Birleşik Devletleri ve Rusya'da, ardından Çin, Hollanda ve Fransa tarafından uzaktan.
Bunlardan platform, bilgisayar korsanlarının zaten 1.440'dan fazla örneği tehlikeye attığını göstermektedir.
Leakix, BleepingComputer'a verdiği demeçte, "Geri ihlal edilen örneklerde oluşturulan 3 ila 300 yüzlerce kullanıcı var, genellikle desen 8 alphanum karakter." Dedi.
İnternet tarama trafiğini analiz eden bir şirket olan Geynoise, 5 Mart'ta CVE-2024-27198'den yararlanma girişimlerinde keskin bir artış kaydetti.
Geynoise istatistiklerine göre, çoğu deneme Amerika Birleşik Devletleri'ndeki DigitalOcean barındırma altyapısındaki sistemlerden geliyor.
Leakix'ten Gregory Boddin, BleepingComputer'a gözlemlenen TeamCity sunucularının yazılım oluşturmak ve dağıtmak için kullanılan üretim makineleri olduğunu söyledi.
Bu, bunlardan ödün vermenin, kodun dağıtıldığı, yayınlandığı veya depolandığı ortamlar için kimlik bilgileri gibi hassas ayrıntılar içerebileceği için tedarik zinciri saldırılarına yol açabileceği anlamına gelir (örn. Mağazalar ve pazarlar, depolar, şirket altyapısı).
Siber güvenlik şirketi Rapid7, güvenlik açığını analiz eden bir blog yazısında ve saldırılarda nasıl kaldırılabileceğini dile getirdi
“Bir TeamCity sunucusundan ödün vermek, bir saldırganın tüm TeamCity projeleri, binalar, temsilciler ve eserler üzerinde tam kontrolüne izin verir ve bu nedenle bir saldırganı bir tedarik zinciri saldırısı gerçekleştirmesi için konumlandırmak için uygun bir vektör” -Rapid7
CVE-2024-27198, 10 üzerinden 9,8 kritik bir önem skoru vardır ve TeamCity'nin şirket içi versiyonunun 2023.11.4'üne kadar tüm sürümleri etkiler.
Sunucunun web bileşeninde bulunur ve uzak, kimlik doğrulanmamış bir saldırganın yönetici ayrıcalıkları olan savunmasız bir sunucunun kontrolünü ele geçirmesine izin verebilir.
Rapid7'de başlıca güvenlik araştırmacısı Stephen Lesser tarafından keşfedilen kırılganlık, Şubat ortasında Jetbrains'e bildirildi ve 4 Mart'ta sabitlendi.
Rapid7, soruna neyin neden olduğu hakkında eksiksiz bir teknik ayrıntılar yayınladı ve bir saldırganın uzaktan kod yürütülmesini sağlamak için onu nasıl kullanabileceğini gösterdi.
JetBrains Pazartesi günü TeamCity 2023.11.4'ün yayınlanmasını CVE-2024-27198 için bir düzeltme ile yayınladı ve tüm kullanıcıları örnekleri en son sürüme güncellemeye teşvik etti.
Zaten büyük bir sömürü gözlemlendiğinde, şirket içi TeamCity örneklerinin yöneticileri en yeni sürümü kurmaya yönelik acil adımlar atmalıdır.
Yeni Kritik TeamCity Auth Bypass hatası için kullanılabilir istismar, şimdi yama
Jetbrains New TeamCity Auth Bypass Güvenlik Açığı
Bilgisayar korsanları tuğlalarda kritik RCE kusurundan yararlanıyor WordPress site Builder
En yeni IVANTI SSRF ZERO-DAY Şimdi kitlesel sömürü altında
Kritik Jenkins RCE Kususu için Serbest Yardımlar, Şimdi Yama
Kaynak: Bleeping Computer