{"id":970319,"date":"2023-09-26T06:19:15","date_gmt":"2023-09-26T06:19:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-falla-critica-en-jetbrains-teamcity-podria-exponer-el-codigo-fuente-y-construir-canales-para-los-atacantes\/"},"modified":"2023-09-26T06:19:19","modified_gmt":"2023-09-26T06:19:19","slug":"una-falla-critica-en-jetbrains-teamcity-podria-exponer-el-codigo-fuente-y-construir-canales-para-los-atacantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-falla-critica-en-jetbrains-teamcity-podria-exponer-el-codigo-fuente-y-construir-canales-para-los-atacantes\/","title":{"rendered":"Una falla cr\u00edtica en JetBrains TeamCity podr\u00eda exponer el c\u00f3digo fuente y construir canales para los atacantes"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Vulnerabilidad \/ C\u00f3digo fuente<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una vulnerabilidad de seguridad cr\u00edtica en el software de integraci\u00f3n continua e implementaci\u00f3n continua (CI\/CD) de JetBrains TeamCity podr\u00eda ser aprovechada por atacantes no autenticados para lograr la ejecuci\u00f3n remota de c\u00f3digo en los sistemas afectados.<\/p>\n<p>El defecto, rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-42793\" target=\"_blank\"><strong>CVE-2023-42793<\/strong><\/a>tiene una puntuaci\u00f3n CVSS de 9,8 y se ha abordado en <a rel=\"nofollow noopener\" href=\"https:\/\/www.jetbrains.com\/privacy-security\/issues-fixed\/\" target=\"_blank\">TeamCity versi\u00f3n 2023.05.4<\/a> tras la divulgaci\u00f3n responsable el 6 de septiembre de 2023.<\/p>\n<p>&#8220;Los atacantes podr\u00edan aprovechar este acceso para robar el c\u00f3digo fuente, secretos de servicio y claves privadas, tomar el control de los agentes de construcci\u00f3n adjuntos y envenenar los artefactos de construcci\u00f3n&#8221;, dijo el investigador de seguridad de Sonar, Stefan Schiller. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/teamcity-vulnerability\/\" target=\"_blank\">dicho<\/a> en un informe la semana pasada.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/iEqhOvqh\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/Un-nuevo-informe-descubre-tres-grupos-distintos-de-ataques-entre.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La explotaci\u00f3n exitosa del error tambi\u00e9n podr\u00eda permitir que los actores de amenazas accedan a los canales de construcci\u00f3n e inyecten c\u00f3digo arbitrario, lo que provocar\u00eda una violaci\u00f3n de la integridad y comprometer\u00eda la cadena de suministro.<\/p>\n<p>Se han ocultado detalles adicionales sobre el error debido al hecho de que es trivial de explotar, y Sonar se\u00f1al\u00f3 que es probable que los actores de amenazas lo exploten en la naturaleza. <\/p>\n<p><iframe loading=\"lazy\" title=\"Demonstration of TeamCity vulnerability on a test instance\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/O2p-6I8RK5c?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>JetBrains, en un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.jetbrains.com\/teamcity\/2023\/09\/critical-security-issue-affecting-teamcity-on-premises-update-to-2023-05-4-now\/\" target=\"_blank\">asesoramiento independiente<\/a>, ha recomendado a los usuarios actualizar lo antes posible.  Tambi\u00e9n lanz\u00f3 un complemento de parche de seguridad para TeamCity versiones 8.0 y superiores para abordar espec\u00edficamente la falla.<\/p>\n<p>La revelaci\u00f3n surge como <a rel=\"nofollow noopener\" href=\"https:\/\/sec-consult.com\/vulnerability-lab\/advisory\/authenticated-remote-code-execution-missing-authentication-atos-unify-openscape\/\" target=\"_blank\">dos defectos de alta gravedad<\/a> se han divulgado en los productos Atos Unify OpenScape que permiten a un atacante con pocos privilegios ejecutar comandos arbitrarios de sistemas operativos como usuario root (CVE-2023-36618), as\u00ed como a un atacante no autenticado acceder y ejecutar varios scripts de configuraci\u00f3n (CVE-2023- 36619).<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de pr\u00f3xima generaci\u00f3n<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfListo para afrontar nuevos desaf\u00edos de ciberseguridad impulsados \u200b\u200bpor la IA?  \u00danase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/ai-cyberattacks?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Los defectos fueron <a rel=\"nofollow noopener\" href=\"https:\/\/unify.com\/en\/support\/security-advisories\" target=\"_blank\">parcheado<\/a> por Atos en julio de 2023.<\/p>\n<p>Durante las \u00faltimas semanas, Sonar tambi\u00e9n ha publicado detalles sobre scripts cr\u00edticos entre sitios (<a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/attacks\/xss\/\" target=\"_blank\">XSS<\/a>) vulnerabilidades que afectan a las soluciones de correo electr\u00f3nico cifrado, incluidas <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/code-vulnerabilities-leak-emails-in-proton-mail\/\" target=\"_blank\">Correo de protones<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/code-vulnerabilities-put-skiff-emails-at-risk\/\" target=\"_blank\">Esquife<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/remote-code-execution-in-tutanota-desktop-due-to-code-flaw\/\" target=\"_blank\">Tutanota<\/a>que podr\u00eda haberse utilizado como arma para robar correos electr\u00f3nicos y hacerse pasar por v\u00edctimas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/critical-jetbrains-teamcity-flaw-could.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de septiembre de 2023\ue804THNVulnerabilidad \/ C\u00f3digo fuente Una vulnerabilidad de seguridad cr\u00edtica en el software de integraci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":970321,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,18041,4661,3374,706,4664,321,2458,20304,2503,4662,4793,207194,4668,201033,36,4654,201031,4659,4653,4655,18,2916,4666,4665,201032,207195,158,4660],"class_list":["post-970319","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacantes","tag-ataques-ciberneticos","tag-canales","tag-codigo","tag-como-hackear","tag-construir","tag-critica","tag-exponer","tag-falla","tag-filtracion-de-datos","tag-fuente","tag-jetbrains","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-podria","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-teamcity","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/970319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=970319"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/970319\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/970321"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=970319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=970319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=970319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}