CVE-2024-27198 und CVE-2024-27199 Erkennung: Kritische Schwachstellen in JetBrains TeamCity Bedeuten Steigende Risiken mit Bereits Lauffähigen Exploits
Inhaltsverzeichnis:
Ein paar Monate nach der massiven Ausnutzung von CVE-2023-42793, gerieten neuartige kritische Schwachstellen in JetBrains TeamCity ins Rampenlicht, die betroffene Benutzer den Risiken der vollständigen Kompromittierung der betroffenen Systeme aussetzen. Die als CVE-2024-27198 und CVE-2024-27199 verfolgten entdeckten Sicherheitslücken können unauthentifizierten Angreifern das grüne Licht geben, um administrative Kontrolle über den Server zu erlangen. Da die CVE-2024-27198-PoC-Exploits öffentlich verfügbar sind und weitere in Arbeit sind, warnen Verteidiger Organisationen und einzelne Benutzer vor den wachsenden Risiken von In-the-Wild-Angriffen, die diese Schwachstellen ausnutzen.
Erkennung von Ausbeutungsversuchen von CVE-2024-27198 und CVE-2024-27199
Angesichts der eskalierenden Risiken von Ausbeutungsversuchen von Sicherheitslücken in JetBrains TeamCity, einschließlich der neu entdeckten kritischen Schwachstellen, die als CVE-2024-27198 und CVE-2024-2719 verfolgt werden, ist es für Verteidiger unerlässlich, sofort Maßnahmen zu ergreifen, um sich proaktiv gegen Eindringversuche von Gegnern zu verteidigen. Das SOC Prime Team hat kürzlich einen neuen Erkennungsalgorithmus veröffentlicht, um Ausbeutungsversuche von CVE-2024-27198 und CVE-2024-2719 zu erkennen. Melden Sie sich bei der SOC Prime Plattform an, um auf das spezielle Inhaltsobjekt basierend auf dem kürzlich veröffentlichten PoC-Code zuzugreifen:
Die Erkennung ist abgestimmt auf MITRE ATT&CK® v.14.1 und behandelt die Taktik des Initial Access und die entsprechende Technik Exploit Public-Facing Application (T1190). Der Erkennungsalgorithmus ist mit 18 cloudbasierten und lokalen Sicherheitsanalyseplattformen kompatibel, um die plattformübergreifende Übersetzung von Abfragen zu vereinfachen.
Organisationen, die ihre Cyberresilienz gegen aufkommende Bedrohungen jedweder Größenordnung stärken möchten, einschließlich kritischer Schwachstellen, die Verteidiger ständig herausfordern, können die gesamte Sammlung von Erkennungsideen für CVEs nutzen, indem sie auf die Schaltfläche Erkennungen erkunden klicken. Alle Erkennungsalgorithmen sind mit umfassenden Metadaten und maßgeschneiderter Intelligenz angereichert, um wertvolle Sekunden bei der Bedrohungsanalyse zu sparen.
Analyse von CVE-2024-27198 und CVE-2024-27199
Im Februar 2024 haben Rapid7-Forscher zwei neuartige kritische Authentifizierungsumgehungsschwachstellen entdeckt und gemeldet, die den JetBrains TeamCity CI/CD-Server betreffen. Die als CVE-2024-27198 and CVE-2024-27199 bekannten Schwachstellen ermöglichen es Angreifern mit HTTP(S)-Zugriff auf einen TeamCity-Server, Authentifizierungsprüfungen zu umgehen und administrative Kontrolle über den kompromittierten Server zu erlangen. CVE-2024-27198 mit einem CVSS-Score von bis zu 9,8 ist ein Fehler im Webkomponentenmodul von TeamCity, der aus einem alternativen Pfadproblem resultiert, während CVE-2024-27199 eine weniger schwerwiegende Schwachstelle mit einem CVSS-Score von 7,3 ist, die aus einem Pfad-Traversal-Problem hervorgeht.
CVE-2024-27198 kann zur vollständigen Kompromittierung eines gezielten TeamCity-Servers führen, was potenziell zu RCE führt und Angreifern das grüne Licht gibt, einen Supply-Chain-Angriff zu starten. Was CVE-2024-27199 betrifft, so kann es von Gegnern genutzt werden, um DoS-Angriffe zu starten oder Client-Verbindungen abzufangen.
Die Schwachstellen, die alle TeamCity On-Premises-Versionen bis einschließlich 2023.11.3 betreffen, wurden in der neuesten Version 2023.11.4 gepatcht. Um die Risiken potenzieller Angriffe zu minimieren, hat der Anbieter auch einen Sicherheitspatch Plugin veröffentlicht, um Kunden, die nicht auf die neueste Version aktualisieren können, zu ermöglichen, ihre Umgebung vor den damit verbundenen Bedrohungen zu schützen.
Mit dem CVE-2024-27198 PoC-Exploit-Code öffentlich zugänglich auf GitHub, wachsen die Risiken von Angriffen, die zur vollständigen Übernahme des Servers führen, was zu einer ultra-responsive Reaktion der Verteidiger führt. Unter Nutzung von SOC Prime’s Attack Detectivekönnen Sicherheitsexperten die Cybersicherheitslage der Organisation verbessern, indem sie rechtzeitig blinde Flecken in der Cyberverteidigung identifizieren, die richtigen Daten zur Schließung dieser Lücken sammeln und die SIEM-Rendite optimieren sowie die Erkennungsverfahren priorisieren, bevor Gegner die Chance haben zuzuschlagen.
