La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó una vulnerabilidad JetBrains descubierta recientemente a su Catálogo de vulnerabilidades explotadas conocidas (KEV), diciendo que encontró evidencia de explotación activa.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para malicioso actores cibernéticos y plantean riesgos significativos para la empresa federal”, el seguimiento aviso de seguridad lee.
CISA declaró además que agregó esta falla a la Directiva Operativa Vinculante (BOD) 22-01, una lista actualizada con frecuencia de vulnerabilidades que se utilizan activamente contra las agencias del Poder Ejecutivo Civil Federal (FCEB), esencialmente agencias gubernamentales. BOD 22-01 también obliga a las agencias FCEB a aplicar los últimos parches y proteger sus puntos finales contra vulnerabilidades conocidas dentro de un plazo predeterminado.
Hay un parche disponible
La falla de JetBrains se refiere a una omisión de autenticación crítica en el software TeamCity On-Premises, lo que permite a atacantes no autenticados tomar el control total de los servidores de destino. Tiene un seguimiento como CVE-2024-27198 y tiene una puntuación de gravedad de 9,8, lo que lo hace crítico.
«Comprometer un servidor TeamCity permite a un atacante tener control total sobre todos los proyectos, compilaciones, agentes y artefactos de TeamCity y, como tal, es un vector adecuado para posicionar a un atacante para realizar un ataque a la cadena de suministro», dijeron los investigadores de seguridad de Rapid7, quienes descubrieron por primera vez el vulnerabilidad y lo informó a JetBrains a principios de este mes.
Desde entonces, la compañía lanzó un parche mediante el cual solucionó una segunda vulnerabilidad: CVE-2024-27199. Esta falla de omisión de autenticación podría usarse para ejecutar ataques DDoS contra un servidor TeamCity, así como ataques de adversario en el medio. Tiene una puntuación de gravedad de 7,3.
«Esta omisión de autenticación permite llegar a un número limitado de puntos finales autenticados sin autenticación», dijo Rapid7. «Un atacante no autenticado puede aprovechar esta vulnerabilidad para modificar una cantidad limitada de configuraciones del sistema en el servidor, así como revelar una cantidad limitada de información confidencial del servidor».
Se decía que todas las versiones hasta la 2023.11.3 eran vulnerables. JetBrains instó a todos los usuarios a actualizar su software a la versión 2023.11.4.
Según se informa, los usuarios de JetBrains TeamCity se han convertido en un objetivo popular entre los actores de amenazas norcoreanos y rusos, razón por la cual la compañía los instó a aplicar el parche sin demora.