Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

CVE-2023-42793: JetBrains TeamCity RCE-Schwachstelle

Teilen Sie

15. Dezember 2023
Tags:

 

In den letzten Monaten wurde eine Schwachstelle in der JetBrains TeamCity-Software(CVE-2023-42793) ausgenutzt, um auf den betroffenen Servern unautorisierte Remotecodeausführung zu erreichen. Die Forscher von Rapid7 haben die Schwachstelle analysiert und ein Metasploit-Modul erstellt, um diese Schwachstelle zu demonstrieren. SonarSource entdeckte die Schwachstelle ursprünglich am 26. September 2023, und am 13. Dezember 2023 meldete CISA die Nutzung durch den russischen Auslandsgeheimdienst.

Diese Schwachstelle entsteht durch einen Request Interceptor (ermöglicht ein angepasstes Middleware-Verhalten) innerhalb des Authentifizierungsmechanismus. Die JetBrains-Implementierung der Berechtigungsprüfung überspringt Anfragen, die mit einem Pfad übereinstimmen, der mit /** beginnt, was Angreifern den Zugriff auf Quellcode und Dienstgeheimnisse ermöglicht. Ein Angreifer könnte diesen Einstiegspunkt theoretisch nutzen, um von diesen Pipelines erzeugten bösartigen Code einzuschleusen, was dazu führen könnte, dass Endbenutzer betroffen sind.

Dem CVE zufolge sind alle Versionen von TeamCity vor 2023.05.4 anfällig. Von den 3.400 beobachteten TeamCity-Instanzen laufen etwa 45,53 % (1.548 Instanzen) mit Versionen vor 2023.05.4. Unten sehen Sie ein Diagramm mit den 10 anfälligsten Versionen.

JetBrains TeamCity Anzahl nach Version

Wir können die Liste der Hosts, die für diesen Angriff anfällig sind , mit der folgenden SuchanfrageCensys anzeigen:

services.software: (vendor: JetBrains and product: TeamCity)

Die meisten dieser Instanzen befinden sich in Cloud-Umgebungen, insbesondere in den Vereinigten Staaten, Deutschland, Irland und Russland.

JetBrains TeamCity Anzahl nach Land

Eine beträchtliche Anzahl dieser Hosts befindet sich bei amerikanischen und deutschen ISPs wie Amazon (16509), Microsoft (8075), Hetzner (24940), OVH (16276) und anderen, wobei 1.416 Hosts 1.548 Instanzen von TeamCity präsentieren.

JetBrains TeamCity Zählung durch ASN

Was kann getan werden?

  • Censys ASM-Kunden haben Zugriff auf ein neues Risiko, das potenziell anfällige TeamCity-Server identifiziert.
  • Lesen Sie den CISA-Leitfaden, um Ihre TeamCity-Instanz auf Anzeichen einer Kompromittierung zu überprüfen
  • Prüfen Sie mit dieser Censys Search Abfrage, ob TeamCity-Server verfügbar sind.
  • Aktualisieren Sie auf die neueste Version der TeamCity-Software.
  • Wenn Sie nicht in der Lage sind, Ihren Server kurzfristig aufzurüsten, passen Sie Ihre Firewall-Einstellungen an oder richten Sie andere Zugangskontrollen ein, um den Server vom Internet aus unzugänglich zu machen

 

Über den Autor

Aidan Holland
Sicherheitsforscher
Aidan ist Sicherheitsforscher im Forschungsteam und arbeitet daran, unsere Daten zu nutzen, um die Arbeitsabläufe von Sicherheitsexperten auf der ganzen Welt zu verbessern. Aidan ist spezialisiert auf Open-Source-Entwicklung und Cybersicherheitstechnik.

Ähnlicher Inhalt

Alle ähnlichen Inhalte anzeigen
Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren