Hackers buiten massaal de kwetsbaarheden uit die recent in het CI/CD-platform TeamCity On-Premises van JetBrains zijn aangetroffen. In totaal zijn maar liefst 1.400 van de aangetroffen 1.700 niet-gepatchte instances gecompromitteerd. Dit stellen LeakIX en GreyNoise.
De recent in het platform aangetroffen zeer kritieke kwetsbaarheden CVE-2024-27198 en CVE-2024-27199 worden inmiddels massaal misbruikt. De CVE-2024-27198-kwetsbaarheid geldt dat met name, constateren onderzoekers van LeakIX.
Hackers zouden inmiddels via een exploit van de kwetsbaarheden honderden nieuwe gebruikers op niet-gepatchte TeamCity On-Prem-servers hebben aangemaakt. Gemiddeld gaat het hierbij om 3 tot 300 nieuwe gebruikers. Het daarbij gebruikte patroon is 8 alphanum-karakters.
In totaal moeten iets meer dan 1.700 TeamCity On-Prem-servers nog steeds de update ontvangen. Hiervan zijn er waarschijnlijk al inmiddels 1.400 gecompromitteerd. De meeste van de kwetsbare servers bevinden zich in Duitsland, de VS, Rusland, China, Nederland en Frankrijk.
De constateringen worden bevestigd door Greynoise. Dit monitoringsplatform constateerde dat begin deze week het aantal exploit-pogingen voor CVE-2024-27198 sterk is toegenomen. Vooral voor instances die zich in de DigitalOcean hosting-infrastructuur in de VS bevinden.
Vooral productieservers getroffen
LeakIX stelt dat het vooral om productieservers gaat voor het bouwen en uitrollen van software. Dit betekent dat de inbreuken mogelijk tot supply-chainaanvallen kunnen leiden. Dit omdat ze vaak gevoelige (inlog)data bevatten voor de omgevingen waarin de code is uitgerold, gepubliceerd en/of opgeslagen. Denk aan winkelomgevingen, marktplaatsen, repositories en de bedrijfsinfrastructuur.
Patch nu beschikbaar
Halverwege februari ontdekten de securityspecialisten van Rapid7 de zeer kritische CVE-2024-27198- en CVE-2024-27199-kwetsbaarheden in TeamCity On-Premises van JetBrains. Alle versies van dit CI/CD-platform tot v2023.11.4 zijn hier kwetsbaar voor, geeft de DevOps-specialist zelf aan.
Het gaat alleen om de on-premversie van TeamCity. De TeamCity Cloud-versie is inmiddels gepatcht en er zijn geen inbreuken waargenomen.
Inmiddels zijn nog twee bekende kwetsbaarheden voor TeamCity On-Premises ontdekt; CWE-288 en CWE-23. Deze kwetsbaarheden stellen niet-geauthenticeerde aanvallers met HTTPS toegang te krijgen tot TeamCity-servers en daarbij de authenticatie te omzeilen. Op deze manier kunnen zij dan het beheer over de getroffen TeamCity-servers overnemen.
Sinds begin deze week is voor CVE-2024-27198 een patch beschikbaar. JetBrains roept klanten op deze zo snel mogelijk te installeren of beter up te graden naar versie v2023.11.4.
Lees ook: De grootste dreigingen voor de cloud: social engineering en ongepatchte soft- en firmware
21 uur geleden
