JetBrains recomienda parchear de inmediato dos nuevas vulnerabilidades que afectan su software TeamCity, una herramienta de canalización de CI/CD que puede permitir a los atacantes obtener acceso administrativo no autenticado.
Rastreados bajo CVE-2024-27198 y CVE-2024-27199, los errores críticos ya se han solucionado dentro de los servidores en la nube de TeamCity con un parche local disponible con la versión 2023.11.4.
«Las vulnerabilidades pueden permitir que un atacante no autenticado con acceso HTTP(S) a un servidor TeamCity evite los controles de autenticación y obtenga el control administrativo de ese servidor TeamCity», dijo JetBrains en una publicación de blog sobre el tema. «Las vulnerabilidades afectan a todas las versiones locales de TeamCity hasta la 2023.11.3».
TeamCity es una herramienta ampliamente utilizada para gestionar canales de CI/CD, el proceso continuo de creación, implementación y prueba de códigos de software, adoptado por una variedad de marcas globales, incluidas Tesla, McAfee, Samsung, Nvidia, HP y Motorola.
Errores críticos de jacking del servidor
Rapid7 informó por primera vez los errores a JetBrains como dos nuevos fallos críticos locales de TeamCity que podrían permitir a los atacantes obtener control administrativo del servidor TeamCity. Posteriormente se les asignaron puntuaciones base CVSS altas de 9,8/10 (CVE-2024-27198) y 7,5/10 (CVE-2024-27199).
Si bien JetBrains y Rapid7 aún no han revelado los detalles técnicos de cómo exactamente se pueden explotar las vulnerabilidades, se espera una divulgación completa en breve.