A hackerek elkezdték kihasználni a TeamCity On-Premises kritikus súlyosságú hitelesítés megkerülési sebezhetőségét. A kihasználás tömeges, több száz új felhasználó jött létre a nyilvános weben elérhető, javítatlan TeamCity példányokon.
A CVE-2024-27198 kritikus sebezhetőség súlyossági pontszáma 9.8, és a TeamCity minden verzióját érinti a 2023.11.4 kiadásig.
A hiba a kiszolgáló webes komponensében van jelen, és lehetővé teszi egy távoli, hitelesítés nélküli támadó számára, hogy rendszergazdai jogosultságokat szerezzen és átvegye az irányítást a sebezhető kiszolgáló felett.
A hibát a Rapid7 észlelte és jelentette a JetBrains felé, majd teljes technikai részleteket tett közzé, és bemutatta, hogy egy támadó hogyan használhatja ki azt távoli kódfuttatás elérésére. A JetBrains március 4-én javítást adott ki és javasolja a rendszergazdáknak a legújabb kiadás telepítését.
A LeakIX közleménye szerint valamivel több mint 1700 TeamCity szerver még nem kapta meg a javítást és ezek közül a hackerek már több mint 1440 példányt kompromittáltak. A sebezhető hosztok többsége Németországban, az Egyesült Államokban és Oroszországban található, őket követi Kína, Hollandia és Franciaország. Ezek olyan termelő gépek, amelyeket szoftverek készítésére és telepítésére használnak. Ezek kompromittálása ellátási láncot érintő támadásokhoz vezethet, mivel olyan érzékeny adatokat tartalmazhatnak, mint például a kód telepítésére, közzétételére vagy tárolására szolgáló környezetek (pl. áruházak és piacterek, tárolók, vállalati infrastruktúra) hitelesítő adatai.
A GreyNoise, az internetes szkennelési forgalmat elemző cég március 5-én szintén a CVE-2024-27198 kihasználására irányuló kísérletek ugrásszerű növekedését regisztrálta. A statisztikáik szerint a legtöbb kísérlet a DigitalOcean tárhely infrastruktúráján lévő rendszerekből származik.
