Skip to content
Nouveau livre électronique : Obtenez dès aujourd'hui votre exemplaire du manuel "Unleash the Power of Censys Search Handbook" (Libérez la puissance de la recherche sur ) ! | Télécharger maintenant
Blogs

CVE-2023-42793 : Vulnérabilité RCE de JetBrains TeamCity

 

Au cours des derniers mois, une vulnérabilité dans le logiciel JetBrains TeamCity(CVE-2023-42793) a été exploitée pour réaliser une exécution de code à distance non authentifiée dans les serveurs concernés. Des chercheurs de Rapid7 ont analysé la vulnérabilité et créé un module Metasploit pour présenter cet exploit. SonarSource a découvert la vulnérabilité le 26 septembre 2023, et le 13 décembre 2023, CISA a signalé son utilisation par les services de renseignement étrangers russes.

Cette vulnérabilité provient d'un intercepteur de requêtes (qui permet de personnaliser le comportement de l'intergiciel) à l'intérieur du mécanisme d'authentification. L'implémentation de JetBrains du contrôle d'autorisation ignore les requêtes correspondant à tout chemin commençant par /**, ce qui permet aux attaquants d'accéder au code source et aux secrets de service. Un attaquant pourrait théoriquement utiliser ce point d'entrée pour injecter du code malveillant produit par ces pipelines, ce qui pourrait affecter les utilisateurs finaux.

Selon le CVE, toutes les versions de TeamCity antérieures à 2023.05.4 sont vulnérables. Parmi les 3 400 instances de TeamCity observées, environ 45,53 % (1 548 instances) utilisent des versions antérieures à 2023.05.4. Vous trouverez ci-dessous un graphique des 10 versions les plus vulnérables.

Nombre de JetBrains TeamCity par version

Nous pouvons consulter la liste des hôtes susceptibles d'être vulnérables à cette attaque en utilisant la requête de recherche suivante :Censys :

services.software: (vendor: JetBrains and product: TeamCity)

La majorité de ces instances se trouvent dans des environnements en nuage, en particulier aux États-Unis, en Allemagne, en Irlande et en Russie.

Nombre de JetBrains TeamCity par pays

Un nombre important de ces hôtes sont présents dans des FAI américains et allemands tels qu'Amazon (16509), Microsoft (8075), Hetzner (24940), OVH (16276), et plus encore, avec 1 416 hôtes présentant 1 548 instances de TeamCity.

JetBrains TeamCity Count par ASN

Que peut-on faire ?

  • Censys Les clients ASM auront accès à un nouveau risque qui identifiera les serveurs TeamCity potentiellement vulnérables.
  • Consultez le guide de la CISA pour vérifier si votre instance TeamCity présente des indicateurs de compromission.
  • Recherchez les serveurs TeamCity exposés à l'aide de cette requête de rechercheCensys .
  • Mettre à jour la dernière version du logiciel TeamCity.
  • Si vous n'êtes pas en mesure de mettre à niveau votre serveur à court terme, ajustez les paramètres de votre pare-feu ou mettez en place d'autres contrôles d'accès pour le rendre inaccessible depuis l'internet.

 

A propos de l'auteur

Aidan Holland
Chercheur en sécurité
Aidan est un chercheur en sécurité au sein de l'équipe de recherche qui travaille à l'utilisation de nos données pour enrichir les flux de travail des professionnels de la sécurité partout dans le monde. Aidan est spécialisé dans le développement de logiciels libres et l'ingénierie de la cybersécurité.

Contenu similaire

Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus