TeamCity-Instanzen tausendfach kompromittiert

Die Nachrichtenseite bleepingcomputer.com berichtete am 6. März 2024, dass die kritische Schwachstelle CVE-2024-27198 in der Software TeamCity On-Premises von JetBrains vielfach ausgenutzt werde. Über CVE-2024-27198 umgehen Angreifende die Authentifizierungsmechanismen von TeamCity. So legten Kriminelle auf ungepatchten Servern hunderte neue Accounts an. Außerdem kompromittierten sie bisher über 1440 TeamCity-Instanzen, die meisten davon in Deutschland. 

CVE-2024-27198 hat einen CVSS-Score von 9,8 und betrifft alle Versionen bis 2023.11.4 von TeamCity On-Premises.

JetBrains TeamCity

JetBrains TeamCity ist ein Java-basierter Server zur kontinuierlichen Integration. Das Programm dient als Software-Distributionssystem. 

Die von CVE-2024-27198 ausgehenden Risiken sind enorm. Da TeamCity-Server als Software-Distributionssystem genutzt werden und deshalb vielfältige Zugangsdaten enthalten, ist bei einer kompromittierten Instanz potenziell die gesamte nachgeordnete Lieferkette betroffen.

Daher kann eine Sicherheitslücke wie CVE-2024-27198 auch zum Angriff auf und zur Kompromittierung ganzer Geschäfte, Online-Marktplätze, Repositories oder Infrastrukur von Unternehmen führen. Dieses Vorgehen wird als Supply-Chain-Angriff bezeichnet.

• Aktualisieren Sie Ihre TeamCity-Server umgehend auf die Version 2023.11.4. Diese behebt die Sicherheitslücke CVE-2024-27198.
• Wenn Sie Ihre Server nicht selbstständig aktualisieren können, nutzen Sie das Sicherheitspatch-Plugin von TeamCity.
• Prüfen Sie Ihre Server außerdem mit den Sigma-Rules von rapid7 auf eine mögliche Kompromittierung. Die Sigma-Rules finden Sie unter den unten aufgeführten Links.