Globaler Kontext (zum Zeitpunkt der Verbreitung)
• 5.699 Hosts weltweit betroffen
• 96 % der weltweit betroffenen Hosts mit einer exponierten Anmeldeseite
• 26 % der weltweit betroffenen Hosts verfügen über Remote-Zugriffsfunktionen
• 6 % der weltweit betroffenen Hosts mit File-Sharing-Funktionen
Am stärksten betroffene Länder:
1. WIR
2. Deutschland
3. Irland
4. Russland
5. GROSSBRITANNIEN
Zusammenfassung
Censys ist bekannt, dass am 5. März 2024 zwei neue TeamCity-Schwachstellen (eine kritische und eine hohe) veröffentlicht wurden. Laut JetBrains, dem Anbieter von TeamCity-Assets, "können die Schwachstellen es einem nicht authentifizierten Angreifer mit HTTP(S)-Zugriff auf einen TeamCity-Server ermöglichen, Authentifizierungsprüfungen zu umgehen und die administrative Kontrolle über diesen TeamCity-Server zu erlangen."
Aufprall
"Ende 2023 schlugen Regierungen weltweit Alarm, dass die vom russischen Staat unterstützte Gruppe APT29 (... der Bedrohungsakteur hinter dem SolarWinds-Angriff von 2020) nutzte aktiv eine ähnliche Schwachstelle in JetBrains TeamCity aus, die ebenfalls Cyberangriffe auf die Software-Lieferkette ermöglichen könnte." Aufgrund dieser Erfolgsbilanz der Ausnutzbarkeit und der Tatsache, dass es sich bei TeamCity um eine Softwareentwicklungsplattform handelt, haben die Schwachstellen wahrscheinlich eine höhere Priorität für diejenigen, die Bedenken hinsichtlich der digitalen Lieferkette haben, insbesondere für TeamCity-Kunden, die zu den Fortune 500 gehören.
Betroffene Vermögenswerte
JetBrains sagte, dass alle Cloud-All-Cloud-Instanzen gepatcht werden – Kunden müssen nur On-Premises-Assets patchen. Zu diesen Ressourcen gehören alle lokalen TeamCity-Versionen bis 2023.11.3. Probleme wurden in Version 2023.11.4 behoben.
CensysDas Rapid Response Team war in der Lage , öffentlich zugängliche, physische TeamCity-Assets zu identifizieren, die von diesen Schwachstellen betroffen sind. Im Folgenden finden Sie Abfragen, die diese kürzlich bei unseren Scans beobachteten Assets genau aufdecken.
Censys ASM-Risikoname
Sicherheitslücke in JetBrains TeamCity [CVE-2024-27198 und CVE-2024-27199]
Censys ASM-Abfrage
Censys Search Die Abfragen werden direkt an die Kunden von Censys weitergegeben. Wenn Sie die Abfrage Censys erhalten möchten, um globale Instanzen im Zusammenhang mit diesem Problem zu identifizieren, oder Hilfe benötigen, wenden Sie sich bitte an uns.
Empfehlungen für die Behebung
von JetBrains geben an, dass Besitzer dieser Assets die betroffenen TeamCity-Server nach Möglichkeit aktualisieren sollten. "Um Ihren Server zu aktualisieren, laden Sie die neueste Version (2023.11.4) herunter oder nutzen Sie die automatische Update-Option in TeamCity. Diese Version enthält Patches für die oben beschriebenen Schwachstellen. Wenn Sie Ihren Server nicht auf Version 2023.11.4 aktualisieren können, haben wir auch ein Sicherheits-Patch-Plugin veröffentlicht, damit Sie Ihre Umgebung trotzdem patchen können. Das Sicherheitspatch-Plugin kann über einen der folgenden Links heruntergeladen und auf allen TeamCity-Versionen bis 2023.11.3 installiert werden.
Sicherheits-Patch-Plugin: TeamCity 2018.2 und neuer | TeamCity 2018.1 und älter
Informationen zur Installation des Plugins finden Sie in den Installationsanweisungen für das TeamCity-Plugin ." – JetBrains
