Une vulnérabilité de sécurité critique dans le logiciel d’intégration et de déploiement continu (CI/CD) JetBrains TeamCity pourrait être exploitée par des attaquants non authentifiés pour exécuter du code à distance sur les systèmes concernés.
La faille, suivie comme CVE-2023-42793porte un score CVSS de 9,8 et a été abordé dans TeamCity version 2023.05.4 suite à une divulgation responsable le 6 septembre 2023.
« Les attaquants pourraient exploiter cet accès pour voler le code source, les secrets de service et les clés privées, prendre le contrôle des agents de build attachés et empoisonner les artefacts de build », a déclaré Stefan Schiller, chercheur en sécurité chez Sonar. dit dans un rapport la semaine dernière.
Une exploitation réussie du bug pourrait également permettre aux acteurs malveillants d’accéder aux pipelines de construction et d’injecter du code arbitraire, entraînant une violation de l’intégrité et des compromissions dans la chaîne d’approvisionnement.
Des détails supplémentaires sur le bug ont été retenus en raison du fait qu’il est trivial à exploiter, Sonar notant qu’il est susceptible d’être exploité dans la nature par des acteurs malveillants.
JetBrains, dans un conseil indépendant, a recommandé aux utilisateurs de mettre à niveau dès que possible. Il a également publié un plugin de correctif de sécurité pour TeamCity versions 8.0 et supérieures afin de corriger spécifiquement la faille.
La divulgation intervient alors que deux défauts de grande gravité ont été divulgués dans les produits Atos Unify OpenScape qui permettent à un attaquant disposant de faibles privilèges d’exécuter des commandes arbitraires du système d’exploitation en tant qu’utilisateur root (CVE-2023-36618), ainsi qu’à un attaquant non authentifié d’accéder et d’exécuter divers scripts de configuration (CVE-2023-36618). 36619).
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Les défauts étaient patché par Atos en juillet 2023.
Au cours des dernières semaines, Sonar a également publié des détails sur les scripts intersites critiques (XSS) vulnérabilités affectant les solutions de messagerie chiffrées, notamment Courrier à protons, Skiffet Tutanotaqui aurait pu être utilisé comme arme pour voler des e-mails et se faire passer pour des victimes.