TeamCity-servers via kritieke authenticatie bypass op afstand over te nemen

[Captain Kirk]

Een kritieke kwetsbaarheid in TeamCity maakt het mogelijk om servers van softwareontwikkelaars op afstand over te nemen, wat vergaande gevolgen kan hebben. De Amerikaanse autoriteiten lieten eind vorig jaar weten dat een soortgelijk beveiligingslek maandenlang door de Russische geheime dienst werd misbruikt. TeamCity is een platform voor softwareontwikkeling, met wereldwijd meer dan dertigduizend klanten, aldus ontwikkelaar JetBrains. Het platform wordt onder andere gebruikt voor het compileren, builden, testen en uitbrengen van software.

Het nieuwste beveiligingslek in TeamCity waarvoor JetBrains in een blogposting waarschuwt wordt aangeduid als CVE-2024-23917. Het betreft een kwetsbaarheid waardoor een ongeauthenticeerde aanvaller met toegang tot een TeamCity-server de authenticatie kan omzeilen en beheerderscontrole over de server kan krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het probleem is aanwezig in alle versies van 2017.1 tot en met 2023.11.2. Organisaties en gebruikers worden opgeroepen om te updaten naar versie 2023.11.3 waarin het probleem is verholpen.

De kwetsbaarheid werd op 19 januari door een externe onderzoeker aan JetBrains gerapporteerd. Zowel de on-premise als bij JetBrains gehoste cloudversies bleken kwetsbaar. Het beveiligingslek is al in de cloudversie verholpen en JetBrains stelt dat er geen aanwijzingen van misbruik op de cloudservers is aangetroffen. Organisaties die hun TeamCity-server niet op korte termijn kunnen patchen worden aangeraden die offline te halen als die vanaf het internet toegankelijk is.

 

bron: https://www.security.nl