Uma vulnerabilidade crítica no servidor TeamCity CI/CD poderia ser explorada remotamente, sem autenticação, para executar código arbitrário e obter controle administrativo sobre um servidor vulnerável.
Desenvolvido pela JetBrains, o TeamCity é uma plataforma de integração contínua e gerenciamento de construção de uso geral, disponível tanto para instalação local quanto como serviço em nuvem.
A falha crítica recentemente identificada, rastreada como CVE-2023-42793 (pontuação CVSS de 9,8), é descrita como um desvio de autenticação impactando a versão local do TeamCity.
O problema pode ser explorado por invasores por meio de uma conexão HTTP(S) e não requer interação do usuário para uma exploração bem-sucedida, disse a empresa de segurança de código Sonar Source, que identificou o bug. explica.
“Isso permite que os invasores não apenas roubem o código-fonte, mas também armazenem segredos de serviço e chaves privadas. E é ainda pior: com acesso ao processo de construção, os invasores podem injetar código malicioso, comprometendo a integridade das versões de software e impactando todos os usuários downstream”, observa Sonar.
Isso, diz Sonar, é possível porque servidores CI/CD como o TeamCity automatizam o processo de desenvolvimento de software, o que significa que eles têm acesso ao código-fonte de uma organização e outras informações confidenciais associadas aos processos de construção, teste e implantação.
De acordo com JetBrains, todas as instâncias locais do TeamCity até a versão 2023.05.3 inclusive são afetadas por esta vulnerabilidade. A nuvem TeamCity não é afetada pela vulnerabilidade.
O bug foi resolvido no TeamCity versão 2023.05.4. A JetBrains também lançou um plugin de patch de segurança para as versões 8.0 e superiores do TeamCity, mas diz que não está considerando fazer backport da correção.
“O plugin do patch de segurança abordará apenas a vulnerabilidade RCE descrita acima. Sempre recomendamos que os usuários atualizem seus servidores para a versão mais recente para se beneficiarem de muitas outras atualizações de segurança”, explica JetBrains.
Os servidores TeamCity acessíveis pela Internet devem ser corrigidos imediatamente ou tornados inacessíveis até que o patch seja instalado.
Tanto JetBrains quanto Sonar afirmam que detalhes técnicos sobre a vulnerabilidade não estão sendo publicados por enquanto. De acordo com o Sonar, o bug é trivial de explorar e é provável que a exploração em estado selvagem seja observada.