Detección de CVE-2024-27198 y CVE-2024-27199: Vulnerabilidades crÃticas en JetBrains TeamCity plantean riesgos crecientes con exploits en curso
Tabla de contenidos:
Un par de meses después de la explotación masiva de CVE-2023-42793, nuevas vulnerabilidades crÃticas en JetBrains TeamCity salieron a la luz, exponiendo a los usuarios afectados a los riesgos de un compromiso total de los sistemas impactados. Identificados como CVE-2024-27198 y CVE-2024-27199, los fallos de seguridad descubiertos pueden dar a los atacantes no autenticados luz verde para obtener control administrativo del servidor. Con los exploits de CVE-2024-27198 PoC públicamente disponibles y más en camino, los defensores advierten a organizaciones y usuarios individuales sobre los crecientes riesgos de ataques salvajes que arman estas fallas.
Detectar Intentos de Explotación de CVE-2024-27198 y CVE-2024-27199
A la luz de los crecientes riesgos de intentos de explotación de vulnerabilidades de seguridad en JetBrains TeamCity, incluidas las nuevas fallas crÃticas descubiertas identificadas como CVE-2024-27198 y CVE-2024-2719, es imperativo que los defensores tomen medidas inmediatas para defender proactivamente contra intrusiones adversarias. El equipo de SOC Prime ha lanzado recientemente un nuevo algoritmo de detección para identificar intentos de explotación de CVE-2024-27198 y CVE-2024-2719. Inicie sesión en la plataforma SOC Prime para acceder al elemento de contenido dedicado basado en el código PoC recientemente lanzado:
La detección está alineada con MITRE ATT&CK® v.14.1 abordando la táctica de Acceso Inicial y la técnica correspondiente de Explotación de Aplicación Pública (T1190). El algoritmo de detección es compatible con 18 plataformas de análisis de seguridad en la nube y locales para simplificar la traducción de consultas entre plataformas.
Las organizaciones que buscan mejorar su resiliencia cibernética contra amenazas emergentes de cualquier escala, incluidas las vulnerabilidades crÃticas que constantemente desafÃan a los defensores, pueden aprovechar toda la colección de ideas de detección para CVEs haciendo clic en el Explorar Detecciones botón. Todos los algoritmos de detección se mejoran con metadatos completos e inteligencia personalizada para ahorrar segundos en la investigación de amenazas.
Análisis de CVE-2024-27198 y CVE-2024-27199
En febrero de 2024, investigadores de Rapid7 descubrieron y reportaron dos nuevas vulnerabilidades crÃticas de bypass de autenticación que afectan al servidor CI/CD de JetBrains TeamCity. Las fallas conocidas como CVE-2024-27198 and CVE-2024-27199 permiten a los atacantes con acceso HTTP(S) a un servidor TeamCity sortear los controles de autenticación y obtener control administrativo sobre el servidor comprometido. CVE-2024-27198 con una puntuación CVSS de 9.8 es una falla en el componente web de TeamCity que surge de un problema de ruta alternativa, mientras que CVE-2024-27199 es una vulnerabilidad menos grave con una puntuación CVSS de 7.3 que proviene de un problema de recorrido de ruta.
​​CVE-2024-27198 puede resultar en el compromiso total de un servidor TeamCity objetivo, potencialmente llevando a una RCE y otorgando a los atacantes luz verde para lanzar un ataque a la cadena de suministro. En cuanto a CVE-2024-27199, puede ser armado por adversarios para lanzar ataques de DoS o interceptar conexiones de clientes.
Las vulnerabilidades que impactan a todas las versiones de TeamCity On-Premises hasta 2023.11.3 han sido parcheadas en la versión más reciente 2023.11.4. Para minimizar los riesgos de ataques potenciales, el proveedor también lanzó un parche de seguridad complemento para habilitar a los clientes que no pueden actualizar a la última versión para proteger su entorno de amenazas relacionadas.
Con el ​​código de explotación PoC de CVE-2024-27198 accesible públicamente en GitHub, los riesgos de ataques que conducen a la toma total del servidor están creciendo, lo que impulsa una ultra-respuesta de los defensores. Aprovechando Attack Detective de SOC Prime, los ingenieros de seguridad pueden elevar la postura de ciberseguridad de la organización identificando oportunamente puntos ciegos en la defensa cibernética, identificando datos apropiados para recopilar para abordar estas brechas y optimizar el ROI de SIEM, y priorizar los procedimientos de detección antes de que los adversarios tengan la oportunidad de atacar.
