CVE-2024-27198 et CVE-2024-27199 Détection : Vulnérabilités critiques dans JetBrains TeamCity posant des risques croissants avec des exploits en cours
Table des matières :
Quelques mois après l’exploitation massive de CVE-2023-42793, de nouvelles vulnérabilités critiques dans JetBrains TeamCity sont apparues, exposant les utilisateurs concernés aux risques de compromission complète des systèmes impactés. Répertoriées sous les références CVE-2024-27198 et CVE-2024-27199, les failles de sécurité découvertes peuvent permettre aux attaquants non authentifiés de prendre le contrôle administratif du serveur. Avec les exploits PoC de la CVE-2024-27198 disponibles publiquement et d’autres en cours, les défenseurs avertissent les organisations et les utilisateurs individuels des risques croissants des attaques sauvages exploitant ces failles.
Détecter les tentatives d’exploitation de CVE-2024-27198 et CVE-2024-27199
À la lumière des risques croissants de tentatives d’exploitation des vulnérabilités de sécurité dans JetBrains TeamCity, y compris les nouvelles failles critiques découvertes répertoriées sous les références CVE-2024-27198 et CVE-2024-27199, il est impératif pour les défenseurs de prendre des mesures immédiates pour se protéger de manière proactive contre les intrusions des adversaires. L’équipe de SOC Prime a récemment publié un nouvel algorithme de détection pour détecter les tentatives d’exploitation de CVE-2024-27198 et CVE-2024-27199. Connectez-vous à la plateforme SOC Prime pour accéder à l’élément de contenu dédié basé sur le code PoC récemment publié :
La détection est alignée avec MITRE ATT&CK® v.14.1 abordant la tactique d’accès initial et la technique correspondante Exécution d’application exposée (T1190). L’algorithme de détection est compatible avec 18 plateformes d’analytique de sécurité cloud et sur site pour simplifier la traduction des requêtes multiplateformes.
Les organisations cherchant à renforcer leur cyber-résilience face aux menaces émergentes de toute ampleur, y compris les vulnérabilités critiques qui défient constamment les défenseurs, peuvent utiliser l’ensemble des idées de détection pour les CVE en cliquant sur le Explorez les détections bouton. Tous les algorithmes de détection sont améliorés avec des métadonnées complètes et une intelligence personnalisée pour réduire les délais d’enquête sur les menaces.
Analyse de CVE-2024-27198 et CVE-2024-27199
En février 2024, les chercheurs de Rapid7 ont découvert et signalé deux nouvelles vulnérabilités critiques de contournement d’authentification impactant le serveur CI/CD JetBrains TeamCity. Les failles connues sous les noms CVE-2024-27198 and CVE-2024-27199 permettent aux attaquants ayant accès HTTP(S) à un serveur TeamCity de contourner les vérifications d’authentification et d’obtenir le contrôle administratif du serveur compromis. CVE-2024-27198 avec un score CVSS atteignant 9.8 est une faille dans le composant web de TeamCity due à un problème de chemin alternatif, tandis que CVE-2024-27199 est une vulnérabilité moins sévère avec un score CVSS de 7.3 provenant d’un problème de traversée de chemin.
CVE-2024-27198 peut entraîner la compromission complète d’un serveur TeamCity ciblé, potentiellement conduisant à une RCE et donnant aux attaquants le feu vert pour lancer une attaque de la chaîne d’approvisionnement. Quant à CVE-2024-27199, elle peut être exploitée par des adversaires pour lancer des attaques par déni de service ou intercepter des connexions client.
Les vulnérabilités affectant toutes les versions de TeamCity On-Premises jusqu’à 2023.11.3 ont été corrigées dans la version la plus récente, 2023.11.4. Pour minimiser les risques d’attaques potentielles, le fournisseur a également publié un correctif de sécurité plugin pour permettre aux clients qui ne peuvent pas passer à la dernière version de protéger leur environnement contre les menaces associées.
Avec le code exploit PoC CVE-2024-27198 accessible publiquement sur GitHub, les risques d’attaques entraînant la prise de contrôle complète du serveur augmentent, ce qui incite à une réactivité immédiate des défenseurs. En tirant parti de SOC Prime’s Attack Detective, les ingénieurs de sécurité peuvent élever la posture de cybersécurité de l’organisation en identifiant à temps les angles morts de la cyberdéfense, en identifiant les données appropriées à collecter pour combler ces lacunes et optimiser le retour sur investissement SIEM, et en priorisant les procédures de détection avant que les adversaires n’aient la chance de frapper.
