JetBrains alerte ses clients d’une faille de sécurité critique dans son logiciel d’intégration et de déploiement continus (CI/CD) TeamCity On-Premises qui pourrait être exploitée par des acteurs malveillants pour prendre le contrôle d’instances sensibles.
La vulnérabilité, suivie comme CVE-2024-23917porte une note CVSS de 9,8 sur 10, indiquant sa gravité.
« La vulnérabilité peut permettre à un attaquant non authentifié disposant d’un accès HTTP(S) à un serveur TeamCity de contourner les contrôles d’authentification et d’obtenir le contrôle administratif de ce serveur TeamCity », a déclaré la société. dit.
Le problème affecte toutes les versions de TeamCity On-Premises de 2017.1 à 2023.11.2. Ce problème a été résolu dans la version 2023.11.3. Un chercheur externe en sécurité anonyme a été reconnu pour avoir découvert et signalé la faille le 19 janvier 2024.
Les utilisateurs qui ne parviennent pas à mettre à jour leurs serveurs vers la version 2023.11.3 peuvent également télécharger un plugin de correctif de sécurité pour appliquer des correctifs à la faille.
« Si votre serveur est accessible publiquement sur Internet et que vous ne parvenez pas à prendre immédiatement l’une des mesures d’atténuation ci-dessus, nous vous recommandons de le rendre temporairement inaccessible jusqu’à ce que les mesures d’atténuation soient terminées », a conseillé JetBrains.
Bien qu’il n’y ait aucune preuve que cette faille ait été exploitée à l’état sauvage, une faille similaire dans le même produit (CVE-2023-42793, score CVSS : 9,8) a été activement exploitée l’année dernière quelques jours après sa divulgation publique par plusieurs acteurs malveillants, y compris gangs de rançongiciels et des groupes parrainés par l’État et affiliés à la Corée du Nord et à la Russie.