Разработчики в опасности: на серверы TeamCity обрушился шквал вымогательских атак

Банды вымогателей всё чаще стали нацеливаться на недавно исправленную уязвимость сервере непрерывной интеграции и развёртывания TeamCity от JetBrains.

Критическая ошибка, зарегистрированная под идентификатором CVE-2023-42793 и имеющая оценку серьёзности по шкале CVSS в 9.8 из 10 баллов, позволяет злоумышленникам дистанционно выполнять код после успешного обхода аутентификации. Особенность атаки заключается в том, что для её выполнения не требуется взаимодействие со стороны пользователя.

Швейцарская компания в сфере кибербезопасности Sonar, исследователи которой обнаружили и сообщили о данной уязвимости, опубликовала полную техническую информацию об уязвимости спустя всего неделю после того, как JetBrains выпустила патч для TeamCity, закрывающий данную брешь.

JetBrains подтвердила , что уязвимость затрагивает все версии TeamCity до последнего исправленного выпуска 2023.05.4, однако под угрозой только локальные серверы, установленные на Windows, Linux и macOS, а также работающие в Docker.

Тем не менее, Стефан Шиллер из Sonar подчеркнул опасность уязвимости: «Ошибка позволяет атакующим не только красть исходный код, но и сохранённые секреты служб и закрытые ключи. С доступом к процессу сборки, злоумышленники могут внедрять вредоносный код, нарушая целостность программного обеспечения и воздействуя на всех конечных пользователей».

Исследователи из некоммерческой организации Shadowserver, тем временем, обнаружили 1240 уязвимых для атак серверов TeamCity.

Через несколько дней после публикации отчёта Sonar компании GreyNoise и PRODAFT сообщили о том, что хакеры начали эксплуатировать данную уязвимость против неисправленных экземпляров TeamCity. В PRODAFT уточнили , что многие популярные группы вымогателей уже добавили эксплойт для CVE-2023-42793 в свой арсенал.

GreyNoise зафиксировала атаки с 56 различных IP-адресов, направленные на серверы TeamCity. При этом организации, которые не установили патч до 29 сентября, с высокой долей вероятности уже подверглись данному взлому.

Стоит отметить, что программное обеспечение TeamCity от JetBrains используется разработчиками более чем в 30 000 организаций по всему миру, включая такие компании, как Citibank, Ubisoft, HP, Nike и Ferrari.

Оптимальной рекомендацией для организаций, использующих TeamCity, будет незамедлительное обновление своих серверов до актуальной версии программного обеспечения.