Новости Разработчики в опасности: на серверы TeamCity обрушился шквал вымогательских атак

[NewsMaker]

Уязвимость устранили пару недель назад, но хакеры и не думают отступать.

---

---

Банды вымогателей всё чаще стали нацеливаться на недавно исправленную уязвимость сервере непрерывной интеграции и развёртывания TeamCity от JetBrains .

Критическая ошибка, зарегистрированная под идентификатором Для просмотра ссылки Войди или Зарегистрируйся и имеющая оценку серьёзности по шкале CVSS в 9.8 из 10 баллов, позволяет злоумышленникам дистанционно выполнять код после успешного обхода аутентификации. Особенность атаки заключается в том, что для её выполнения не требуется взаимодействие со стороны пользователя.

Швейцарская компания в сфере кибербезопасности Sonar , исследователи которой обнаружили и сообщили о данной уязвимости, опубликовала Для просмотра ссылки Войди или Зарегистрируйся об уязвимости спустя всего неделю после того, как JetBrains выпустила патч для TeamCity, закрывающий данную брешь.

JetBrains Для просмотра ссылки Войди или Зарегистрируйся , что уязвимость затрагивает все версии TeamCity до последнего исправленного выпуска 2023.05.4, однако под угрозой только локальные серверы, установленные на Windows , Linux и macOS , а также работающие в Docker .

Тем не менее, Стефан Шиллер из Sonar подчеркнул опасность уязвимости: «Ошибка позволяет атакующим не только красть исходный код, но и сохранённые секреты служб и закрытые ключи. С доступом к процессу сборки, злоумышленники могут внедрять вредоносный код, нарушая целостность программного обеспечения и воздействуя на всех конечных пользователей».

Исследователи из некоммерческой организации Shadowserver , тем временем, Для просмотра ссылки Войди или Зарегистрируйся 1240 уязвимых для атак серверов TeamCity.

Через несколько дней после публикации отчёта Sonar компании GreyNoise и PRODAFT сообщили о том, что хакеры начали эксплуатировать данную уязвимость против неисправленных экземпляров TeamCity. В PRODAFT Для просмотра ссылки Войди или Зарегистрируйся , что многие популярные группы вымогателей уже добавили эксплойт для CVE-2023-42793 в свой арсенал.

GreyNoise Для просмотра ссылки Войди или Зарегистрируйся атаки с 56 различных IP-адресов, направленные на серверы TeamCity. При этом организации, которые не установили патч до 29 сентября, с высокой долей вероятности уже подверглись данному взлому.

Стоит отметить, что программное обеспечение TeamCity от JetBrains используется разработчиками более чем в 30 000 организаций по всему миру, включая такие компании, как Citibank, Ubisoft, HP, Nike и Ferrari.

Оптимальной рекомендацией для организаций, использующих TeamCity, будет незамедлительное обновление своих серверов до актуальной версии программного обеспечения.