Contexto mundial (en el momento de la difusión)
- 5.699 hosts afectados en todo el mundo
- 96% de los hosts globalmente afectados con una página de inicio de sesión expuesta
- 26% de hosts afectados globalmente con capacidades de acceso remoto
- 6% de los hosts afectados a nivel mundial con capacidad para compartir archivos
Principales países afectados:
1. EE.UU.
2. Alemania
3. Irlanda
4. Rusia
5. REINO UNIDO
Resumen
Censys es consciente de que el 5 de marzo de 2024 se publicaron dos nuevas vulnerabilidades de TeamCity (una crítica y otra alta). Según JetBrains, proveedor de los activos de TeamCity, "Las vulnerabilidades pueden permitir a un atacante no autenticado con acceso HTTP(S) a un servidor TeamCity saltarse las comprobaciones de autenticación y obtener el control administrativo de dicho servidor TeamCity."
Impacto
"A finales de 2023, los gobiernos de todo el mundo dieron la voz de alarma de que el grupo ruso respaldado por el estado APT29 (... el actor de amenazas detrás del ataque a SolarWinds de 2020) estaba explotando activamente una vulnerabilidad similar en JetBrains TeamCity que también podría permitir ciberataques a la cadena de suministro de software." Debido a este historial de explotabilidad, y el hecho de que TeamCity es una plataforma de desarrollo de software, las vulnerabilidades son probablemente una prioridad más alta para aquellos con preocupaciones de cadena de suministro digital, especialmente los clientes de TeamCity que se encuentran entre los Fortune 500.
Activos afectados
JetBrains dijo que todas las instancias en la nube están parcheadas - los clientes sólo necesitan parchear los activos locales. Estos activos incluyen todas las versiones locales de TeamCity hasta la 2023.11.3. Los problemas se han corregido en la versión 2023.11.4.
CensysEl equipo de respuesta rápida ha podido identificar los activos físicos de TeamCity de cara al público afectados por estas vulnerabilidades. A continuación se muestran las consultas que descubrirán con precisión estos activos recientemente observados en nuestros escaneos.
Censys ASM Nombre del riesgo
Vulnerabilidad de JetBrains TeamCity [CVE-2024-27198 y CVE-2024-27199].
Censys Consulta ASM
Censys Las consultas de búsqueda se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
de JetBrains afirman que los propietarios de estos activos deben actualizar los servidores TeamCity afectados, si es posible. "Para actualizar su servidor, descargue la última versión (2023.11.4) o utilice la opción de actualización automática dentro de TeamCity. Esta versión incluye parches para las vulnerabilidades descritas anteriormente. Si no puede actualizar su servidor a la versión 2023.11.4, también hemos publicado un complemento de parches de seguridad para que pueda parchear su entorno. El plugin de parches de seguridad puede descargarse utilizando uno de los siguientes enlaces e instalarse en todas las versiones de TeamCity hasta la 2023.11.3.
Plugin de parches de seguridad: TeamCity 2018.2 y posteriores | TeamCity 2018.1 y anteriores
Consulte las instrucciones de instalación del plugin de TeamCity para obtener información sobre la instalación del plugin." - JetBrains
