Exploração de vulnerabilidade crítica começou assim que foi revelada

Cibercriminosos começaram a exploração de uma vulnerabilidade crítica no TeamCity quase imediatamente após terem sido disponibilizadas a correção para essa mesma vulnerabilidade.

No dia 4 de março, a JetBrains anunciou correções para duas vulnerabilidades de bypass de autenticação no TeamCity. Uma das vulnerabilidades (CVE-2024-27198) é considerada crítica, enquanto a outra (CVE-2024-27199) de alta severidade. A primeira permite que um atacante remoto e não autenticado tome controlo completo do servidor TeamCity vulnerável através da criação de uma conta admin ou ao gerar um token de acesso de admin.

Os investigadores da Rapid7, que descobriu as vulnerabilidades, afirmam que “comprometer um servidor TeamCity permite que um atacante tenha controlo completo de todos os projetos, builds, agentes e artefactos no TeamCity, assim como um vetor para posicionar um atacante a realizar um ciberataque à cadeia de valor”.

Devido a uma falha de comunicação entre a Rapid7 e a JetBrains, os detalhes técnicos da vulnerabilidade foram anunciados no mesmo dia em que as correções foram disponibilizadas ao público.

A Rapid7 opôs-se a um ‘silent patching’ e publicou uma publicação no seu blog a detalhar as suas descobertas pouco depois do anúncio das correções. Já a JetBrains afirmou que queria assegurar que os clientes tinham a oportunidade de instalar as correções antes de os detalhes serem tornados públicos, não divulgando os seus planos à Rapid7.