Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Blogs

CVE-2023-42793: Vulnerabilidad RCE en JetBrains TeamCity

Compartir

15 de diciembre de 2023
Etiquetas:

 

En los últimos meses se ha abusado de una vulnerabilidad en el software JetBrains TeamCity(CVE-2023-42793) para conseguir la ejecución remota de código sin autenticación en los servidores afectados. Los investigadores de Rapid7 han analizado la vulnerabilidad y han creado un módulo Metasploit para mostrar este exploit. SonarSource descubrió originalmente la vulnerabilidad el 26 de septiembre de 2023, y el 13 de diciembre de 2023 CISA informó de su uso por parte del Servicio de Inteligencia Exterior de Rusia.

Esta vulnerabilidad proviene de un interceptor de peticiones (permite un comportamiento personalizado del middleware) dentro del mecanismo de autenticación. La implementación de JetBrains de la comprobación de autorización omite las solicitudes que coincidan con cualquier ruta que comience por /**, lo que permite a los atacantes acceder al código fuente y a los secretos del servicio. En teoría, un atacante podría utilizar este punto de entrada para inyectar código malicioso producido por estos pipelines, lo que podría afectar a los usuarios finales.

Según la CVE, todas las versiones de TeamCity anteriores a la 2023.05.4 son vulnerables. Entre las 3.400 instancias de TeamCity observadas, aproximadamente el 45,53% (1.548 instancias) ejecutan versiones anteriores a la 2023.05.4. A continuación puede ver un gráfico de las 10 versiones más vulnerables.

Recuento de JetBrains TeamCity por versión

Podemos ver la lista de hosts que pueden ser vulnerables a este ataque utilizando la siguiente consulta de búsquedaCensys :

services.software: (vendor: JetBrains and product: TeamCity)

La mayoría de estas instancias viven en entornos de nube, sobre todo en Estados Unidos, Alemania, Irlanda y Rusia.

Recuento de JetBrains TeamCity por país

Un número significativo de estos hosts están presentes en ISP estadounidenses y alemanes como Amazon (16509), Microsoft (8075), Hetzner (24940), OVH (16276), y más, con 1.416 hosts que presentan 1.548 instancias de TeamCity.

Recuento de JetBrains TeamCity por ASN

¿Qué se puede hacer?

  • Censys Los clientes de ASM tendrán acceso a un nuevo riesgo que identificará los servidores TeamCity potencialmente vulnerables.
  • Consulte la guía de CISA para comprobar su instancia de TeamCity en busca de indicadores de compromiso
  • Compruebe si hay servidores TeamCity expuestos utilizando esta consulta de búsqueda deCensys
  • Actualice a la última versión del software TeamCity.
  • Si no puede actualizar su servidor a corto plazo, ajuste la configuración de su cortafuegos o aplique otros controles de acceso para hacerlo inaccesible desde Internet.

 

Sobre el autor

Aidan Holland
Investigador de seguridad
Aidan es un investigador de seguridad del equipo de investigación que trabaja para utilizar nuestros datos para enriquecer los flujos de trabajo de los profesionales de la seguridad de todo el mundo. Aidan está especializado en desarrollo de código abierto e ingeniería de ciberseguridad.

Contenido similar

Ver todos los contenidos similares
Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información