Erst kürzlich haben wir von kritischen Sicherheitslücken in dem CI/CD Server TeamCity von Jetbrains berichtet, da tauchen schon die nächsten auf. Die Sicherheitslücken CVE-2024-27198 und CVE-2024-27199 sind zwei kritische Schwachstellen, die im Februar 2024 entdeckt und am 4. März 2024 öffentlich bekannt gemacht worden.
CVE-2024-27199
Diese Schwachstelle ermöglicht einem nicht authentifizierten Angreifer, begrenzten Zugriff auf das System zu erlangen, indem eine Pfadumgehung ausgenutzt wird, um die Authentifizierung zu umgehen und bestimmte Ressourcen auf dem Server zu erreichen. Darüber hinaus könnte der Angreifer das HTTPS-Zertifikat des Servers durch sein eigenes ersetzen, was ihm ermöglichen würde, die Kommunikation zwischen dem Server und den Clients abzufangen – ein sogenannter Man-in-the-Middle-Angriff.
CVE-2024-27198
Es handelt bei CVE-2024-27198 um eine Schwachstelle, die das Umgehen der Authentifizierung ermöglicht und zu einem möglichen vollständigen Kompromiss des Servers führen kann. Die CVE-ID lautet CVE-2024-27198, und sie hat einen CVSS-Score von 9,8, was als kritisch eingestuft wird. Betroffen sind Versionen von JetBrains TeamCity, die vor 2023.11.4 liegen. Diese Schwachstelle ist erheblich gravierender als CVE-2024-27199, da sie einem nicht authentifizierten Angreifer ermöglicht, einen anfälligen Server vollständig zu kompromittieren.
Was könnte ein Angreifer durch die Ausnutzung von CVE-2024-27198 potenziell tun?
- Vollständige Kontrolle über den Server erlangen: Dies umfasst das Erstellen neuer Administratorbenutzer, das Modifizieren bestehender Benutzerberechtigungen, die Übernahme von Projekten und Builds sowie den Zugriff auf sensible Daten, die auf dem Server gespeichert sind.
Ähnlich wie bei CVE-2024-27199 wird empfohlen, folgende Maßnahmen zu ergreifen, um diese Schwachstelle zu beheben:
- TeamCity auf Version 2023.11.4 oder höher aktualisieren: Diese Version beinhaltet einen Fix für beide Schwachstellen.
- Zugriff auf den TeamCity-Server einschränken: Maßnahmen implementieren, um den Zugriff auf den Server nur autorisierten Benutzern und Systemen zu gestatten.
- Auf verdächtige Aktivitäten achten: Das System regelmäßig auf Anzeichen von unbefugtem Zugriff oder verdächtigen Aktivitäten überwachen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: