L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé jeudi ajoutée une faille de sécurité critique affectant le logiciel JetBrains TeamCity On-Premises et ses vulnérabilités exploitées connues (KEV), fondé sur des preuves d’exploitation active.
La vulnérabilité, identifiée comme CVE-2024-27198 (score CVSS : 9,8), fait référence à un bug de contournement d’authentification qui permet compromis complet d’un serveur sensible par un attaquant distant non authentifié.
Il a été corrigé par JetBrains plus tôt cette semaine aux côtés de CVE-2024-27199 (score CVSS : 7,3), une autre faille de contournement d’authentification de gravité modérée qui permet une « quantité limitée » de divulgation d’informations et de modification du système.
« Ces vulnérabilités peuvent permettre à un attaquant non authentifié disposant d’un accès HTTP(S) à un serveur TeamCity de contourner les contrôles d’authentification et d’obtenir le contrôle administratif de ce serveur TeamCity », avait alors noté la société.
Des acteurs menaçants ont été observés utilisant ces deux failles comme une arme pour Rançongiciel Jasmin ainsi que créer des centaines de comptes d’utilisateurs malveillantsselon Grève de foule et FuiteIX. La Fondation Shadowserver dit il a détecté des tentatives d’exploitation à partir du 4 mars 2024.
Les statistiques partagées par GreyNoise montrent que CVE-2024-27198 est tombé sous le coup exploitation à grande échelle à partir de plus d’une douzaine d’adresses IP uniques peu de temps après la divulgation publique de la faille.
Compte tenu de l’exploitation active, il est conseillé aux utilisateurs exécutant des versions sur site du logiciel d’appliquer les mises à jour dès que possible afin d’atténuer les menaces potentielles. Les agences fédérales sont tenues de mettre à jour leurs instances d’ici le 28 mars 2024.