Sommario
Le gang del ransomware stanno ora prendendo di mira una vulnerabilità critica recentemente corretta nel server di integrazione e distribuzione continua TeamCity di JetBrains. Questa vulnerabilità, identificata come CVE-2023-42793 e con un punteggio di gravità di 9.8/10, permette agli aggressori non autenticati di eseguire codice remoto (RCE) sfruttando una debolezza di bypass dell’autenticazione.
La società di sicurezza svizzera Sonar ha rivelato dettagli tecnici completi dopo che JetBrains ha rilasciato una correzione per TeamCity 2023.05.4 il 21 settembre. Questa vulnerabilità colpisce tutte le versioni di TeamCity precedenti alla versione corretta, ma solo i server On-Premises installati su Windows, Linux e macOS, o che funzionano in Docker.
Implicazioni per le aziende
Con l’accesso al processo di compilazione, gli aggressori possono iniettare codice dannoso, compromettendo l’integrità delle versioni del software. Questo potrebbe avere ripercussioni gravi per gli utenti a valle. L’organizzazione di sicurezza internet Shadowserver Foundation ha identificato 1240 server TeamCity vulnerabili.
Risposta degli aggressori
Diverse operazioni di ransomware hanno già iniziato a sfruttare questa vulnerabilità. La piattaforma BLINDSPOT di PRODAFT ha rilevato molte organizzazioni già sfruttate da attori minacciosi. Gli attacchi provenienti da almeno 56 indirizzi IP diversi sono stati osservati da GreyNoise.
Impatto globale
JetBrains ha dichiarato che TeamCity è utilizzato da sviluppatori in oltre 30.000 organizzazioni globali, tra cui Citibank, Ubisoft, HP, Nike e Ferrari. Questo rende la vulnerabilità particolarmente preoccupante, dato l’ampio utilizzo della piattaforma.
