Một lỗ hổng bảo mật nghiêm trọng trong phần mềm triển khai liên tục và tích hợp liên tục (CI/CD) JetBrains TeamCity có thể bị kẻ tấn công không xác thực khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Lỗ hổng, được theo dõi là CVE-2023-42793 , có điểm CVSS là 9,8 và đã được xử lý trong phiên bản TeamCity 2023.05.4 sau khi được tiết lộ có trách nhiệm vào ngày 6 tháng 9 năm 2023.
Nhà nghiên cứu bảo mật Sonar Stefan Schiller cho biết trong một báo cáo tuần trước: “Những kẻ tấn công có thể tận dụng quyền truy cập này để đánh cắp mã nguồn, bí mật dịch vụ và khóa riêng, chiếm quyền kiểm soát các tác nhân xây dựng đính kèm và tạo tác độc hại cho các tạo phẩm xây dựng ” .
Việc khai thác thành công lỗi này cũng có thể cho phép các tác nhân đe dọa truy cập vào quy trình xây dựng và chèn mã tùy ý, dẫn đến vi phạm tính toàn vẹn và thỏa hiệp chuỗi cung ứng.
Các chi tiết bổ sung về lỗi này đã được giữ lại do thực tế là việc khai thác nó rất đơn giản, Sonar lưu ý rằng nó có khả năng bị các tác nhân đe dọa khai thác một cách tự nhiên.
JetBrains, trong một cơ quan tư vấn độc lập , đã khuyến nghị người dùng nên nâng cấp càng sớm càng tốt. Nó cũng đã phát hành một plugin vá bảo mật cho TeamCity phiên bản 8.0 trở lên để giải quyết cụ thể lỗ hổng.
Tiết lộ này được đưa ra khi hai lỗ hổng có mức độ nghiêm trọng cao được tiết lộ trong các sản phẩm Atos Unify OpenScape cho phép kẻ tấn công có đặc quyền thấp thực thi các lệnh hệ điều hành tùy ý với tư cách là người dùng root (CVE-2023-36618) cũng như kẻ tấn công không được xác thực để truy cập và thực thi các tập lệnh cấu hình khác nhau (CVE-2023-36619).
Các lỗ hổng đã được Atos vá vào tháng 7 năm 2023.
Trong vài tuần qua, Sonar cũng đã công bố thông tin chi tiết về các lỗ hổng nghiêm trọng về tập lệnh chéo trang ( XSS ) ảnh hưởng đến các giải pháp email được mã hóa, bao gồm Proton Mail , Skiff và Tutanota , có thể được vũ khí hóa để đánh cắp email và mạo danh nạn nhân.