CVE-2024-27198 e CVE-2024-27199 Detecção: Vulnerabilidades Críticas no JetBrains TeamCity Representam Riscos Crescentes com Exploits em Curso

[post-views]
Março 06, 2024 · 4 min de leitura
CVE-2024-27198 e CVE-2024-27199 Detecção: Vulnerabilidades Críticas no JetBrains TeamCity Representam Riscos Crescentes com Exploits em Curso

Alguns meses após a exploração maciça de CVE-2023-42793, novas vulnerabilidades críticas no JetBrains TeamCity ganharam destaque, expondo os usuários afetados aos riscos de comprometimento completo dos sistemas impactados. Rastreado como CVE-2024-27198 e CVE-2024-27199, as falhas de segurança descobertas podem dar aos atacantes não autenticados o sinal verde para obter controle administrativo do servidor. Com os exploits PoC do CVE-2024-27198 disponíveis publicamente e mais em andamento, os defensores alertam organizações e usuários individuais sobre os crescentes riscos de ataques em andamento que exploram essas falhas.

Detectar Tentativas de Exploração do CVE-2024-27198 e CVE-2024-27199

Diante dos riscos crescentes de tentativas de exploração de vulnerabilidades de segurança no JetBrains TeamCity, incluindo as falhas críticas recentemente descobertas rastreadas como CVE-2024-27198 e CVE-2024-27199, é imperativo que os defensores tomem medidas imediatas para defender proativamente contra intrusões adversárias. A Equipe SOC Prime lançou recentemente um novo algoritmo de detecção para detectar tentativas de exploração do CVE-2024-27198 e CVE-2024-27199. Faça login na Plataforma SOC Prime para acessar o item de conteúdo dedicado com base no código PoC recentemente lançado:

Possível Tentativa de Exploração do CVE-2024-27198/CVE-2024-27199 (Bypass de Autenticação do JetBrains TeamCity) (via servidor web)

A detecção está alinhada com MITRE ATT&CK® v.14.1 endereçando a tática de Acesso Inicial e a técnica correspondente Explorar Aplicações Voltadas para o Público (T1190). O algoritmo de detecção é compatível com 18 plataformas de análise de segurança na nuvem e locais para simplificar a tradução de consultas entre plataformas.

Organizações que buscam aumentar sua resiliência cibernética contra ameaças emergentes de qualquer escala, incluindo vulnerabilidades críticas que constantemente desafiam os defensores, podem aproveitar a coleção inteira de ideias de detecção para CVEs clicando no botão Explorar Detecções . Todos os algoritmos de detecção são aprimorados com metadados abrangentes e inteligência personalizada para economizar segundos na investigação de ameaças.

Explorar Detecções

Análise do CVE-2024-27198 e CVE-2024-27199

Em fevereiro de 2024, pesquisadores do Rapid7 descobriram e relataram duas novas vulnerabilidades críticas de bypass de autenticação impactando o servidor CI/CD do JetBrains TeamCity. As falhas conhecidas como CVE-2024-27198 and CVE-2024-27199 permitem que atacantes com acesso HTTP(S) a um servidor TeamCity contornem verificações de autenticação e obtenham controle administrativo sobre o servidor comprometido. O CVE-2024-27198, com um escore CVSS chegando a 9.8, é uma falha no componente web do TeamCity decorrente de um problema de caminho alternativo, enquanto o CVE-2024-27199 é uma vulnerabilidade menos severa com um escore CVSS de 7.3 decorrente de um problema de travessia de caminho.

O CVE-2024-27198 pode resultar no comprometimento total de um servidor TeamCity alvo, potencialmente levando a RCE e dando aos atacantes o sinal verde para iniciar um ataque à cadeia de suprimentos. Quanto ao CVE-2024-27199, ele pode ser armado por adversários para lançar ataques DoS ou interceptar conexões de clientes.

As vulnerabilidades que afetam todas as versões On-Premises do TeamCity até 2023.11.3 foram corrigidas na versão mais recente 2023.11.4. Para minimizar os riscos de ataques potenciais, o fornecedor também lançou um patch de segurança plugin para permitir que clientes que não podem atualizar para a versão mais recente protejam seu ambiente de ameaças relacionadas.

Com o código de exploit PoC do CVE-2024-27198 publicamente acessível no GitHub, os riscos de ataques levando à tomada completa do servidor estão crescendo, o que estimula uma ultra-responsividade por parte dos defensores. Aproveitando o Detective de Ataque da SOC Prime, engenheiros de segurança podem elevar a postura de cibersegurança da organização identificando atempadamente pontos cegos da defesa cibernética, identificando os dados adequados para coletar para abordar essas lacunas e otimizar o ROI do SIEM, e priorizando procedimentos de detecção antes que os adversários tenham a chance de atacar.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Ameaças Mais Recentes, Blog — 7 min de leitura
CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Veronika Telychko
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Ameaças Mais Recentes, Blog — 6 min de leitura
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Veronika Telychko
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Ameaças Mais Recentes, Blog — 6 min de leitura
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Veronika Telychko