Estados Unidos (269), Alemania (267) y Rusia (191) fueron los países más infectados (cuentas de administrador creadas) en una lista compartida por LeakIX. En el último recuento, tenían 330, 302 y 221 sistemas sin parches, respectivamente.
“Hay entre 3 y 300 usuarios creados en instancias comprometidas, normalmente el patrón es 8 caracteres alfanuméricos”, FugaIX según se informa dicho.
La disputa de divulgación
Rapid7 creía que las vulnerabilidades eran críticas y publicó detalles técnicos completos poco después del lanzamiento de los parches, recomendando la aplicación inmediata.
“TeamCity ha sido un objetivo popular para los atacantes, incluidos grupos patrocinados por el estadodurante los últimos seis meses aproximadamente”, dijo Caitlin Condon, directora de inteligencia de vulnerabilidades de Rapid7.
“Ambas vulnerabilidades que Rapid7 descubrió en TeamCity son omisiones de autenticación; el primero (CVE-2024-27198) es crítico y permite la ejecución remota de código no autenticado, lo que a su vez brinda a los atacantes potenciales control sobre las compilaciones, agentes, artefactos, etc. de TeamCity”, agregó Condon. “La segunda vulnerabilidad (CVE-2024-27199) es de alta gravedad en lugar de crítica y permite una divulgación limitada de información y/o modificación del sistema, incluida la capacidad de un atacante no autenticado de reemplazar el certificado HTTPS en un servidor TeamCity vulnerable con un certificado de elección del atacante”.
Sin embargo, en el comunicado de seguridad para estas vulnerabilidades, JetBrains había indicado que Rapid7 se apresuró a revelar los problemas, ya que este último decidió cumplir estrictamente con su propia política de divulgación de vulnerabilidades y estaba a punto de publicar detalles técnicos completos en breve.