Contexte mondial (au moment de la diffusion)
• 5 699 hôtes touchés dans le monde
• 96 % des hôtes touchés dans le monde dont la page de connexion est exposée
• 26 % des hôtes touchés dans le monde disposent de capacités d’accès à distance
• 6 % des hôtes concernés dans le monde disposent de fonctionnalités de partage de fichiers
Principaux pays touchés :
1. États-Unis
2. Allemagne
3. Irlande
4. Russie
5. Royaume-Uni
Résumé
Censys est au courant que le 5 mars 2024, deux nouvelles vulnérabilités TeamCity (une critique et une élevée) ont été publiées. Selon JetBrains, le fournisseur des ressources TeamCity, « les vulnérabilités peuvent permettre à un attaquant non authentifié disposant d’un accès HTTP(S) à un serveur TeamCity de contourner les contrôles d’authentification et d’obtenir le contrôle administratif de ce serveur TeamCity ».
Impact
« À la fin de l’année 2023, les gouvernements du monde entier ont tiré la sonnette d’alarme sur le fait que le groupe APT29, soutenu par l’État russe (... l’auteur de la menace à l’origine de l’attaque SolarWinds de 2020) exploitait activement une vulnérabilité similaire dans JetBrains TeamCity qui pourrait également permettre des cyberattaques de la chaîne d’approvisionnement logicielle. En raison de cet historique d’exploitabilité et du fait que TeamCity est une plate-forme de développement de logiciels, les vulnérabilités sont probablement une priorité plus élevée pour ceux qui ont des préoccupations en matière de chaîne d’approvisionnement numérique, en particulier les clients de TeamCity qui font partie du Fortune 500.
Actifs touchés
JetBrains a déclaré que toutes les instances cloud all cloud sont corrigées – les clients n’ont besoin d’appliquer des correctifs qu’aux ressources sur site. Ces ressources incluent toutes les versions locales de TeamCity jusqu’à la version 2023.11.3. Les problèmes ont été résolus dans la version 2023.11.4.
CensysL’équipe d’intervention rapide a été en mesure d’identifier les actifs physiques de TeamCity accessibles au public qui sont affectés par ces vulnérabilités. Vous trouverez ci-dessous des requêtes qui permettront de découvrir avec précision ces actifs récemment observés à partir de nos analyses.
Censys Nom du risque ASM
Vulnérabilité dans JetBrains TeamCity [CVE-2024-27198 et CVE-2024-27199]
Censys Requête ASM
Censys Les requêtes de recherche sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
de JetBrains indiquent que les propriétaires de ces actifs doivent mettre à jour les serveurs TeamCity concernés, si possible. « Pour mettre à jour votre serveur, téléchargez la dernière version (2023.11.4) ou utilisez l’option de mise à jour automatique dans TeamCity. Cette version inclut des correctifs pour les vulnérabilités décrites ci-dessus. Si vous ne parvenez pas à mettre à jour votre serveur vers la version 2023.11.4, nous avons également publié un plug-in de correctif de sécurité afin que vous puissiez toujours appliquer des correctifs à votre environnement. Le plug-in de correctif de sécurité peut être téléchargé à l’aide de l’un des liens ci-dessous et installé sur toutes les versions de TeamCity jusqu’au 2023.11.3.
Plug-in de correctif de sécurité : TeamCity 2018.2 et versions ultérieures | TeamCity 2018.1 et versions antérieures
Consultez les instructions d’installation du plug-in TeamCity pour plus d’informations sur l’installation du plug-in.