Skip to content
Faites fleurir votre intelligence Internet - Bénéficiez de 20% de réduction sur Censys Search Teams ou sur les plans annuels Solo avec le code Spring24 jusqu'au 31 mai.
Blogs

CVE-2023-42793 : Vulnérabilité RCE de JetBrains TeamCity

Partager

15 décembre 2023
Tags :

 

Au cours des derniers mois, une vulnérabilité dans le logiciel JetBrains TeamCity(CVE-2023-42793) a été exploitée pour réaliser une exécution de code à distance non authentifiée dans les serveurs concernés. Des chercheurs de Rapid7 ont analysé la vulnérabilité et créé un module Metasploit pour présenter cet exploit. SonarSource a découvert la vulnérabilité le 26 septembre 2023, et le 13 décembre 2023, CISA a signalé son utilisation par les services de renseignement étrangers russes.

Cette vulnérabilité provient d'un intercepteur de requêtes (qui permet de personnaliser le comportement de l'intergiciel) à l'intérieur du mécanisme d'authentification. L'implémentation de JetBrains du contrôle d'autorisation ignore les requêtes correspondant à tout chemin commençant par /**, ce qui permet aux attaquants d'accéder au code source et aux secrets de service. Un attaquant pourrait théoriquement utiliser ce point d'entrée pour injecter du code malveillant produit par ces pipelines, ce qui pourrait affecter les utilisateurs finaux.

Selon le CVE, toutes les versions de TeamCity antérieures à 2023.05.4 sont vulnérables. Parmi les 3 400 instances de TeamCity observées, environ 45,53 % (1 548 instances) utilisent des versions antérieures à 2023.05.4. Vous trouverez ci-dessous un graphique des 10 versions les plus vulnérables.

Nombre de JetBrains TeamCity par version

Nous pouvons consulter la liste des hôtes susceptibles d'être vulnérables à cette attaque en utilisant la requête de recherche suivante :Censys :

services.software: (vendor: JetBrains and product: TeamCity)

La majorité de ces instances se trouvent dans des environnements en nuage, en particulier aux États-Unis, en Allemagne, en Irlande et en Russie.

Nombre de JetBrains TeamCity par pays

Un nombre important de ces hôtes sont présents dans des FAI américains et allemands tels qu'Amazon (16509), Microsoft (8075), Hetzner (24940), OVH (16276), et plus encore, avec 1 416 hôtes présentant 1 548 instances de TeamCity.

JetBrains TeamCity Count par ASN

Que peut-on faire ?

  • Censys Les clients ASM auront accès à un nouveau risque qui identifiera les serveurs TeamCity potentiellement vulnérables.
  • Consultez le guide de la CISA pour vérifier si votre instance TeamCity présente des indicateurs de compromission.
  • Recherchez les serveurs TeamCity exposés à l'aide de cette requête de rechercheCensys .
  • Mettre à jour la dernière version du logiciel TeamCity.
  • Si vous n'êtes pas en mesure de mettre à niveau votre serveur à court terme, ajustez les paramètres de votre pare-feu ou mettez en place d'autres contrôles d'accès pour le rendre inaccessible depuis l'internet.

 

A propos de l'auteur

Aidan Holland
Chercheur en sécurité
Aidan est un chercheur en sécurité au sein de l'équipe de recherche qui travaille à l'utilisation de nos données pour enrichir les flux de travail des professionnels de la sécurité partout dans le monde. Aidan est spécialisé dans le développement de logiciels libres et l'ingénierie de la cybersécurité.

Contenu similaire

Voir tous les contenus similaires
Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus