О двух уязвимостях в популярном инструменте для автоматизации процессов CI/CD и совместной разработки ПО JetBrains TeamCity стало известно в конце февраля. Они связаны с веб-компонентом TeamCity On-Premises CI/CD и затрагивают все версии продукта до 2023.11.3 включительно. Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4.
CVE-2024-27198 (BDU: 2024-01792) — 9,8 из 10 баллов по шкале CVSS
Критическая уязвимость, которая позволяет злоумышленнику создавать нового пользователя с правами администратора без прохождения процессов аутентификации и авторизации. Благодаря этому атакующий может получить полный контроль над средой.
CVE-2024-27199 — 7,3 из 10 баллов по шкале CVSS
С помощью этой уязвимости атакующий может использовать технику path traversal, чтобы без аутентификации получить несанкционированный доступ к определенным файлам конфигурации TeamCity. Таким образом, посторонний без какой-либо аутентификации способен узнать о проектах в разработке и их статусах, а также получить другую критически важную информацию.
Чтобы избежать риска компрометации, необходимо установить обновление. Если организация по каким-то причинам не готова в кратчайшие сроки перейти на новую версию JetBrains TeamCity, BI.ZONE WAF поможет в защите от атак с эксплуатацией. Новые защитные правила контролируют передаваемые параметры HTTP-запросов. Если в HTTP-запросе будут обнаружены аномалии, BI.ZONE WAF заблокирует его автоматически. Защиту от уязвимости CVE-2024-27199 обеспечивает классическое правило для борьбы с атаками типа path traversal.
Кроме того, специалисты по анализу защищенности BI.ZONE разработали правила для сервиса BI.ZONE CPT. Они позволяют сканеру определять уязвимые версии TeamCity у клиентов.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:
После обнародования информации о CVE-2024-27198 и CVE-2024-27199 наши эксперты оперативно разработали правила защиты. Они уже действуют для всех клиентов и не требуют никаких дополнительных действий. О попытках эксплуатации пользователь может узнать из журнала событий личного кабинета, где отобразится информация о заблокированном запросе и его отправителе. Пользователь сможет получить информацию о том, с какого IP-адреса и из какой страны была проведена атака, какой браузер при этом использовался, а также другие данные для анализа атаки и отчетности.
BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, противодействует ботнет‑активности и выявляет уязвимости. Сервис может использоваться для защиты веб‑приложений значимых объектов критической информационной инфраструктуры, государственных информационных систем и информационных систем персональных данных.