Исследователи безопасности все чаще обнаруживают активные попытки эксплуатации уязвимостей в TeamCity от JetBrains
11/03/24
Компания CrowdStrike наблюдает атаки, предположительно, с использованием модифицированной версии программы-вымогателя Jasmin. Jasmin — это инструмент красной команды (Red Team) с открытым исходным кодом, который повторяет вирус WannaCry и предназначен для имитации атак и помощи организациям в тестировании защиты. Однако Jasmin был адаптирован злоумышленниками для вредоносных целей.
Одним из примеров подобной модификации стал вариант программы-вымогателя GoodWill, обнаруженный в 2022 году, указывают в Securitylab. В отличие от стандартных требований выкупа, жертвам предлагалось совершить благотворительные акты, такие как пожертвования и помощь нуждающимся детям, чтобы получить доступ к своим файлам.
Кроме CrowdStrike, другие исследователи также подтвердили активную эксплуатацию двух уязвимостей в TeamCity. По данным сервиса LeakIX, хакеры уже скомпрометировали более 1440 уязвимых экземпляров TeamCity, и на каждом экземпляре, в среднем, создают от 3 до 300 учетных записей для последующего использования. На данный момент, по информации Shadowserver, в интернете все еще доступно 1 182 уязвимых сервера TeamCity, причем большинство из них находится в США и Германии.
CVE-2024-27198 (оценка CVSS: 9.8) и CVE-2024-27199 (оценка CVSS: 7.3) затрагивают все версии TeamCity On-Premises до 2023.11.4 включительно. Недостатки позволяют неаутентифицированному хакеру с доступом по HTTP(S) к серверу TeamCity обойти проверку подлинности и получить административный контроль над сервером. Компрометация сервера TeamCity позволяет атакующему полностью контролировать все проекты, сборки, агенты и артефакты TeamCity, что делает его подходящим инструментом для проведения атак на цепочки поставок.