Seguir 
Alguns meses após a exploração maciça de CVE-2023-42793, novas vulnerabilidades críticas no JetBrains TeamCity ganharam destaque, expondo os usuários afetados aos riscos de comprometimento completo dos sistemas impactados. Rastreado como CVE-2024-27198 e CVE-2024-27199, as falhas de segurança descobertas podem dar aos atacantes não autenticados o sinal verde para obter controle administrativo do servidor. Com os exploits PoC do CVE-2024-27198 disponíveis publicamente e mais em andamento, os defensores alertam organizações e usuários individuais sobre os crescentes riscos de ataques em andamento que exploram essas falhas.
Detectar Tentativas de Exploração do CVE-2024-27198 e CVE-2024-27199
Diante dos riscos crescentes de tentativas de exploração de vulnerabilidades de segurança no JetBrains TeamCity, incluindo as falhas críticas recentemente descobertas rastreadas como CVE-2024-27198 e CVE-2024-27199, é imperativo que os defensores tomem medidas imediatas para defender proativamente contra intrusões adversárias. A Equipe SOC Prime lançou recentemente um novo algoritmo de detecção para detectar tentativas de exploração do CVE-2024-27198 e CVE-2024-27199. Faça login na Plataforma SOC Prime para acessar o item de conteúdo dedicado com base no código PoC recentemente lançado:
A detecção está alinhada com MITRE ATT&CK® v.14.1 endereçando a tática de Acesso Inicial e a técnica correspondente Explorar Aplicações Voltadas para o Público (T1190). O algoritmo de detecção é compatível com 18 plataformas de análise de segurança na nuvem e locais para simplificar a tradução de consultas entre plataformas.
Organizações que buscam aumentar sua resiliência cibernética contra ameaças emergentes de qualquer escala, incluindo vulnerabilidades críticas que constantemente desafiam os defensores, podem aproveitar a coleção inteira de ideias de detecção para CVEs clicando no botão Explorar Detecções . Todos os algoritmos de detecção são aprimorados com metadados abrangentes e inteligência personalizada para economizar segundos na investigação de ameaças.
Análise do CVE-2024-27198 e CVE-2024-27199
Em fevereiro de 2024, pesquisadores do Rapid7 descobriram e relataram duas novas vulnerabilidades críticas de bypass de autenticação impactando o servidor CI/CD do JetBrains TeamCity. As falhas conhecidas como CVE-2024-27198 and CVE-2024-27199 permitem que atacantes com acesso HTTP(S) a um servidor TeamCity contornem verificações de autenticação e obtenham controle administrativo sobre o servidor comprometido. O CVE-2024-27198, com um escore CVSS chegando a 9.8, é uma falha no componente web do TeamCity decorrente de um problema de caminho alternativo, enquanto o CVE-2024-27199 é uma vulnerabilidade menos severa com um escore CVSS de 7.3 decorrente de um problema de travessia de caminho.
O CVE-2024-27198 pode resultar no comprometimento total de um servidor TeamCity alvo, potencialmente levando a RCE e dando aos atacantes o sinal verde para iniciar um ataque à cadeia de suprimentos. Quanto ao CVE-2024-27199, ele pode ser armado por adversários para lançar ataques DoS ou interceptar conexões de clientes.
As vulnerabilidades que afetam todas as versões On-Premises do TeamCity até 2023.11.3 foram corrigidas na versão mais recente 2023.11.4. Para minimizar os riscos de ataques potenciais, o fornecedor também lançou um patch de segurança plugin para permitir que clientes que não podem atualizar para a versão mais recente protejam seu ambiente de ameaças relacionadas.
Com o código de exploit PoC do CVE-2024-27198 publicamente acessível no GitHub, os riscos de ataques levando à tomada completa do servidor estão crescendo, o que estimula uma ultra-responsividade por parte dos defensores. Aproveitando o Detective de Ataque da SOC Prime, engenheiros de segurança podem elevar a postura de cibersegurança da organização identificando atempadamente pontos cegos da defesa cibernética, identificando os dados adequados para coletar para abordar essas lacunas e otimizar o ROI do SIEM, e priorizando procedimentos de detecção antes que os adversários tenham a chance de atacar.
